La sofisticada variante de malware de Android explota la manipulación de nivel postal y la carga de código dinámico para evadir la detección mientras realizan operaciones de fraude de anuncios dirigidos a usuarios móviles a nivel mundial.
El Equipo de Investigación de Seguridad de Zlabs de Zimperium ha identificado una nueva y altamente sofisticada variante del malware Konfety Android que emplea técnicas de evasión avanzada para evitar herramientas de análisis de seguridad y realizar operaciones publicitarias fraudulentas.
Esta última iteración representa una evolución significativa en las capacidades de malware móvil, lo que demuestra cómo los actores de amenaza están adaptando continuamente sus tácticas para eludir los mecanismos de detección.
Konfety Android Malware en Google Play
La familia de malware Konfety surgió por primera vez como parte de una campaña masiva de fraude publicitaria móvil que inicialmente fue interrumpida por investigadores de seguridad en 2024.
La operación original incluyó más de 250 aplicaciones señuelo en Google Play Store, cada una combinada con homólogos maliciosos “Twin” distribuidos a través de canales de terceros.
En su apogeo, la campaña generó una asombrosa solicitud de anuncios fraudulentos por día, destacando la escala y el impacto financiero de esta operación sofisticada.
El malware deriva su nombre de la palabra rusa para “dulces”, haciendo referencia a su abuso del Kit de desarrollo de software de publicidad móvil de Caramelads (SDK).
Los actores de amenaza detrás de Konfety demostraron una notable innovación al crear un ecosistema de doble aplicación donde las aplicaciones señuelo de aspecto legítimo en las tiendas de aplicaciones oficiales proporcionaron cobertura para variantes maliciosas distribuidas a través de canales alternativos.
Nuevas técnicas de evasión: manipulación de nivel postal
La última variante de Konfety representa un avance significativo en las técnicas anti-análisis, específicamente dirigida a las herramientas utilizadas por los investigadores de seguridad para examinar las aplicaciones de Android.
El malware emplea varias tácticas sofisticadas de manipulación de nivel postal diseñadas para romper las herramientas de análisis comunes y complicar los esfuerzos de ingeniería inversa.
Una de las técnicas de evasión más innovadores implica manipular la bandera de propósito general dentro de la estructura postal del APK.
El malware establece el bit 00 de los indicadores de propósito general para indicar que el APK está encriptado, a pesar de que el archivo no está realmente encriptado. Esta falsa bandera hace que las herramientas de análisis identifiquen incorrectamente el APK como protegido con contraseña y posteriormente solicite una contraseña para la descompresión.
Esta técnica impide efectivamente que las herramientas de seguridad extraen archivos activando indicaciones de contraseña, evitando una inspección más profunda del código y la funcionalidad del malware. La manipulación funciona a un nivel fundamental, explotando cómo los analizadores de cremallera manejan encabezados y metadatos.
La segunda técnica de evasión importante implica declarar un método de compresión no compatible en el archivo androidmanifest.xml. Específicamente, el malware declara el método de compresión BZIP (0x000c) para archivos críticos, a pesar de no usar este algoritmo de compresión.
Esta discrepancia hace que las herramientas de análisis como APKTOOL y JADX se bloqueen por completo al intentar procesar el archivo, ya que encuentran un método de compresión inesperado que no pueden manejar.
La belleza de este enfoque se encuentra en el manejo resistente de Android de tales anomalías. Cuando el sistema operativo Android encuentra un tipo de compresión no compatible, se vuelve en silencio al tratar el archivo como si se almacenara simplemente, lo que permite que el proceso de instalación continúe sin interrupciones. Esto garantiza la estabilidad del sistema al tiempo que derrota simultáneamente las herramientas de análisis de seguridad.
Carga de código dinámico y ofuscación
Más allá de la manipulación de nivel postal, la nueva variante de Konfety emplea técnicas sofisticadas de carga dinámica de código para ocultar su funcionalidad maliciosa. El malware incluye múltiples capas de ofuscación diseñadas específicamente para obstaculizar los enfoques de análisis estáticos y dinámicos.
El malware utiliza la carga de código dinámico al incorporar un código ejecutable adicional dentro de los activos cifrados agrupados dentro del APK. Este archivo cifrado contiene un archivo de DEX secundario (ejecutable Dalvik) que permanece completamente oculto durante los procedimientos estándar de inspección APK.
El cifrado asegura que la carga útil maliciosa no sea inmediatamente visible para investigadores de seguridad o sistemas de análisis automatizados.
Tras la ejecución, la aplicación descifra y carga este archivo DEX oculto en la memoria, lo que le permite ejecutar una lógica maliciosa adicional que estaba completamente oculta durante la instalación.
Este proceso de descifrado y carga de tiempo de ejecución permite que el malware mantenga una apariencia benigna mientras alberga capacidades de ataque sofisticadas.
El archivo Dex oculto contiene varios componentes de la aplicación, incluidas actividades, servicios y receptores que se declaran en AndroidManifest.xml pero faltan notablemente en la base de código APK primaria.
Esta inconsistencia deliberada sirve como una técnica de evasión y un desencadenante de detección para los investigadores de seguridad que notan la discrepancia entre los componentes declarados e implementados.
Lo más significativo, el código oculto incluye un servicio específico relacionado con el SDK de Caramelads, que las campañas anteriores de Konfety explotaron fuertemente para las operaciones de fraude publicitario a gran escala.
Si bien el SDK de Caramelads no es inherentemente malicioso, los actores de amenaza lo han explotado constantemente para obtener y hacer anuncios silenciosos, cargas útiles adicionales y manteniendo la comunicación con los servidores remotos de comando y control.
El malware Konfety mantiene una sofisticada infraestructura de comando y control que ha evolucionado significativamente desde la campaña original. El análisis de las comunicaciones de red del malware revela un proceso de varias etapas diseñado para evadir la detección y maximizar la generación de ingresos fraudulentos.
Tras la instalación, el malware presenta a los usuarios una ventana emergente de acuerdo de usuario, una característica característica que vincula la variante actual con las campañas de Konfety anteriores. Después de que los usuarios aceptan este acuerdo, el malware establece contacto con su infraestructura de comando y control a través de una secuencia cuidadosamente orquestada de solicitudes de red.
La comunicación inicial comienza con el malware que abre una instancia del navegador y se conecta a hxxp: //push.razkondronging.com/register? Uid = xxxxxx. Este dominio representa la iteración actual de la infraestructura de comando y control de la campaña, reemplazando los puntos finales previamente informados. La conexión luego redirige a través de varios sitios web intermediarios antes de llegar a su destino final.
Una de las técnicas de sigilo más efectivas empleadas por el malware implica ocultar su icono de aplicación y no mostrar ningún nombre de aplicación reconocible.
Este enfoque hace que sea extremadamente difícil para los usuarios identificar y eliminar la aplicación maliciosa a través de medios convencionales, ya que no aparece en las listas de aplicaciones o lanzadores típicos.
El malware logra este ocultamiento manipulando los sistemas de administración de aplicaciones de Android, asegurando que, si bien la aplicación permanece funcional y continúa ejecutando su carga útil maliciosa, mantiene una presencia invisible en el dispositivo infectado.
Al monitorear los patrones de comportamiento de la aplicación, las comunicaciones de red e interacciones del sistema, los sistemas de detección de comportamiento pueden identificar actividad maliciosa independientemente de la ofuscación del código o la manipulación del formato de archivo.
La clave para la detección de comportamiento efectiva radica en comprender los patrones operativos del malware, incluidas sus secuencias de comunicación de red, interacciones del sistema de archivos e intentos de establecer la persistencia.
La última variante de malware Konfety Android representa un avance significativo en la sofisticación de amenazas móviles, lo que demuestra cómo los actores de amenaza evolucionan continuamente sus técnicas para eludir las medidas de seguridad.
El uso innovador del malware de la manipulación a nivel postal, la carga de código dinámico y los mecanismos de sigilo crean un desafío formidable para los enfoques de análisis de seguridad tradicionales.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
