详细内容或原文请订阅后点击阅览
Android恶意软件Konfety随着ZIP操纵和动态加载而演变
一种新的Konfety Android恶意软件变体使用畸形的ZIP和混淆来逃避检测,并以没有实际功能的假应用姿势。 Zimperium Zlabs的研究人员正在跟踪一种新的,精致的Konfety Android恶意软件变体,该变体使用“ Evil-Twin”策略和重复的软件包名称来避免检测。新的konfety恶意软件变体使用畸形的zip,[…]
来源:Security Affairs _恶意软件Android恶意软件Konfety随着ZIP操纵和动态加载而演变
一种新的Konfety Android恶意软件变体使用畸形的ZIP和混淆来逃避检测,并以没有实际功能的假应用姿势。
Zimperium Zlabs研究人员正在跟踪一种新的,精致的Konfety Android恶意软件变体,该变体使用“邪恶的双胞胎”策略和重复的包装名称来避免检测。
新的Konfety恶意软件变体使用畸形的邮政编码,实现了误导的标志并宣布不支持的BZIP压缩,以逃避分析工具。
“ APK包含启用通用标志的位00。这会导致一些工具错误地将APK(ZIP)识别为加密,然后随后请求密码进行减压。”阅读Zimperium发表的报告。 “这些样品的AndroidManifest.xml声明了BZIP压缩方法。但是,该算法实际上并未按照该算法进行压缩。这种差异导致减压工具的部分减压和分析工具的无效文件解析。”
报告Konfety恶意软件使用低级ZIP技巧来阻止安全工具分析其代码。一些技巧触发了假密码提示或崩溃工具,例如Apktool和Jadx。但是,Android可以优雅地处理这些不寻常的文件,通过将不支持的格式视为普通文件来悄悄安装应用程序。
最新的Konfety恶意软件变体使用高级混淆来避免检测。它们在运行时加载隐藏的,加密的代码,这使得在标准扫描中不可见代码。此隐藏的代码(辅助DEX文件)包含应用清单中声明的密钥组件,但主代码中缺少了键,从而增加了危险信号。
动态代码加载 加密资产 dex这些组件链接回Konfety过去对Caramelads SDK进行广告欺诈的使用,让恶意软件默默地运行广告,安装有效负载并与远程服务器交谈,而无需用户的知识。
@injseq 妥协的指标 @securityaffairs Facebook mastodon SecurityFaffairs