Il mondo della sicurezza informatica è in continua evoluzione e nuovi malware sofisticati minacciano costantemente i dispositivi mobili. Un esempio recente è dato dalla scoperta di una nuova variante del malware Android Konfety, che si distingue per la sua abilità nell’evitare i sistemi di rilevamento e nell’eseguire frodi pubblicitarie attraverso tecniche avanzate di manipolazione delle applicazioni APK e caricamento dinamico di codice.

Konfety e la tecnica dell’evil twin

Konfety sfrutta la tecnica dell’evil twin: vengono create due varianti di una stessa app con lo stesso nome di pacchetto, una legittima e una malevola. La versione dannosa viene diffusa tramite store di terze parti, mentre quella legittima è presente su Google Play. Questa strategia rende difficile per gli utenti e per i sistemi di sicurezza distinguere le app sicure da quelle infette.

Manipolazione dell’APK e tecniche di evasione

Una delle novità più pericolose di questa variante è la manipolazione della struttura ZIP dell’APK. Gli attaccanti usano APK malformati per eludere i controlli automatici e complicare l’analisi del codice. Inoltre, il malware utilizza la tecnica del dynamic code loading: il payload principale viene caricato e decriptato solo durante l’esecuzione, sfuggendo così a molte analisi statiche. Un altro metodo di evasione consiste nell’attivare il bit di crittografia nell’APK, che genera una richiesta di password falsa e blocca l’accesso ai contenuti, ostacolando il lavoro dei ricercatori.

Konfety usa anche dichiarazioni false nella configurazione del file manifest, ad esempio dichiarando l’uso della compressione BZIP anche se non viene realmente utilizzata, causando il crash degli strumenti di analisi come APKTool e JADX. Questo livello di offuscamento multiplo, che combina asset criptati e dichiarazioni fuorvianti, sottolinea la crescente sofisticazione delle minacce mobile.

L’uso di SDK malevoli e adattamento del comportamento

Oltre a queste tecniche, Konfety sfrutta l’SDK CaramelAds per mostrare annunci, scaricare ulteriori payload e mantenere il collegamento con i server degli attaccanti. Il malware è in grado di reindirizzare l’utente su siti malevoli, installare altre app indesiderate, inviare notifiche spam e nascondere la propria icona. Tramite geofencing, adatta il suo comportamento in base alla regione della vittima.

Questi sviluppi evidenziano l’importanza di adottare pratiche di sicurezza rigorose, installare solo app da fonti affidabili e mantenere sempre aggiornato il sistema operativo del proprio dispositivo Android. La complessità crescente delle minacce come Konfety impone un approccio sempre più attento sia da parte degli utenti che delle aziende di sicurezza.