Cybersecurity -onderzoekers hebben een nieuwe, geavanceerde variant ontdekt van een bekende Android -malware die Konfety wordt genoemd die gebruik maakt van de kwade Twin -techniek om AD -fraude mogelijk te maken.
De stiekeme aanpak omvat in wezen een scenario waarin twee varianten van een applicatie dezelfde pakketnaam delen: een goedaardige “Decoy” -app die wordt gehost in de Google Play Store en zijn kwaadaardige tweeling, die wordt gedistribueerd via bronnen van derden.
Het is de moeite waard erop te wijzen dat de Decoy -apps niet noodzakelijkerwijs door dreigingsactoren zelf hoeven te worden gepubliceerd en legitiem kunnen zijn. Het enige voorbehoud is dat de kwaadaardige apps exact dezelfde pakketnamen delen als hun echte tegenhangers die al beschikbaar zijn in de Play Store.
“De dreigingsacteurs achter Konfety zijn zeer aanpasbaar, het consequent wijzigen van hun beoogde advertentienetwerken en het bijwerken van hun methoden om detectie te ontwijken,” zei Zimperium Zlabs -onderzoeker Fernando Ortega. “Deze nieuwste variant toont hun verfijning door specifiek te knoeien met de Zip -structuur van de APK.”
Door misvormde APK’s te gebruiken, stelt de tactiek dreigingsactoren in staat om detectie te omzeilen en reverse engineering -inspanningen aan te vechten. Naast het dynamisch laden van de belangrijkste DEX (Dalvik uitvoerbare lading) lading tijdens runtime, schakelen de nieuw ontdekte versies de bitvlag voor algemeen uit, door deze in te stellen op “Bit 0”, signalering op het systeem dat het bestand is gecodeerd.
Dit gedrag veroorzaakt op zijn beurt een vals wachtwoordprompt wanneer u probeert het Android -pakket te inspecteren, waardoor de toegang wordt geblokkeerd en pogingen om de inhoud ervan te analyseren compliceren.
De tweede techniek houdt in dat het gebruik van het gebruik van BZIP -compressiemethode in het manifest XML -bestand van de app ten onrechte wordt verklaard (“AndroidManifest.xml”), waardoor analysetools zoals Apktool en JADX crashen vanwege een parseringsfout. Een vergelijkbare op compressie gebaseerde verdedigingstechniek werd eerder benadrukt door Kaspersky in een andere Android-malware genaamd Soumnibot.
Het gebruik van dynamische codelading om de primaire lading uit te voeren, biedt toegevoegde stealth tijdens initiële scans of reverse engineering, merkte Zimperium op. Tijdens de uitvoering wordt de DEX -lading gedecodeerd en direct in het geheugen geladen zonder rode vlaggen aan te trekken.
“Deze meerlagige obfuscatie-benadering, die gecombineerde activa, runtime code-injectie en misleidende manifestverklaringen combineert, toont de evoluerende verfijning van de Konfety-operatie aan en zijn continue inspanningen om analyse en bypass-detectiemechanismen te ontwijken,” zei Ortega.
Net als de vorige iteratie die vorig jaar door Human is gerapporteerd, misbruikt Konfety de Caramelads Software Development Kit (SDK) om advertenties op te halen, payloads te leveren en communicatie te behouden met aanvallergestuurde servers.
Het wordt geleverd met mogelijkheden om gebruikers om te leiden naar kwaadaardige websites, de aanwijzingen van ongewenste app-installaties en activerende spamachtige browsermeldingen activeren. Bovendien verbergt de malware zijn app -pictogram en gebruikt Geofencing om zijn functionaliteit te wijzigen op basis van de regio van het slachtoffer.
De ontwikkeling komt als elke. Run gedetailleerd een Chinese Android Packer -tool die bekend staat als Ducex die voornamelijk is ontworpen om ingebedde payloads zoals triada in nep Telegram -apps te verbergen.
“De Packer maakt gebruik van ernstige verduistering door functiecodering met behulp van een gemodificeerd RC4 -algoritme met toegevoegde shuffling,” zei Any.Run -onderzoeker Alina Markova. “Ducex maakt belangrijke wegversperringen voor foutopsporing. Het voert APK-handtekeningverificatie uit, falen als de app opnieuw wordt getekend. Het maakt ook gebruik van zelfverwijdering met vork en pTrace om externe tracing te blokkeren.”
Bovendien is Ducex ontworpen om de aanwezigheid van populaire analysetools zoals Frida, Xposed en Substraat te detecteren, en beëindig zichzelf, indien aanwezig.
De bevindingen volgen ook een nieuwe studie die is gepubliceerd door een team van onderzoekers van Tu Wien en de University of Bayreuth over een nieuwe techniek die Taptrap wordt nagesynchroniseerd die kan worden bewapend door een kwaadaardige app om het machtigingssysteem van Android heimelijk te omzeilen en toegang te krijgen tot gevoelige gegevens of het uitvoeren van destructieve acties.
De aanval, in een notendop, kaaft gebruikersinteracties op Android -apparaten door animaties of games op het scherm van een gebruiker te bedekken, terwijl ze heimelijk gebruikersinterface -elementen onder die gebruikers lanceren om gebruikers te verrichten om ongewenste acties uit te voeren, zoals het installeren van malware of het verlenen van de app -intrusieve machtigingen.
“Normaal gesproken toont Android een animatie wanneer het scherm verandert, zoals het nieuwe scherm glijden of vervagen”, zeiden onderzoekers Philipp Beer, Marco Squarcina, Sebastian Roth en Martina Lindorfer. “De app kan echter het systeem vertellen dat in plaats daarvan een aangepaste animatie moet worden gebruikt die langdurig is en het nieuwe scherm volledig transparant maakt, waardoor het voor u wordt verborgen.”
“Alle kranen die u tijdens deze animatie maakt, gaan naar het verborgen scherm, niet naar de zichtbare app. De app kan dit vervolgens gebruiken om u te lokken om op specifieke gebieden van het scherm te tikken die overeenkomen met gevoelige acties op het verborgen scherm, waardoor het acties kan uitvoeren zonder uw kennis.”
https://www.youtube.com/watch?v=-XMA6DX7CB8
In een hypothetisch aanvalsscenario kan een door het slachtoffer geïnstalleerde door het slachtoffer geïnstalleerde dreigingsacteur een webbrowser-sessie openen en ze duperen om camera-machtigingen te verlenen aan een kwaadaardige website.
Dat gezegd hebbende, de impact van Taptrap reikt verder dan het Android -ecosysteem, waardoor de deur wordt geopend voor tapjacking en webklikaanvallen. Het probleem is aangepakt in Grapheneos, Chrome 135 (CVE-2025-3067) en Firefox 136 (CVE-2025-1939). Android 16 blijft vatbaar voor de aanval.
