Questo malware Android è così furbo da ingannare anche gli esperti di sicurezza

I ricercatori di Zimperium hanno identificato una nuova versione del malware Android Konfety che si configura come l'ennesimo passo avanti nelle tecniche di evasione utilizzate dai cybercriminali. Il software malevolo adotta una strategia sofisticata che combina strutture ZIP deliberatamente corrotte con metodi di offuscamento multipli, rendendo estremamente difficile la sua individuazione da parte dei sistemi di sicurezza tradizionali.

La caratteristica principale di Konfety risiede nella sua capacità di imitare perfettamente app legittime disponibili su Google Play Store. Il malware non presenta alcuna delle funzionalità promesse, ma si concentra esclusivamente sulla visualizzazione di annunci nascosti tramite l'SDK CaramelAds e sull'esfiltrazione di informazioni sensibili del dispositivo, incluse le app installate, la configurazione di rete e i dettagli di sistema.

Nuova versione del malware Konfety usa tecniche multiple di offuscamento

L'architettura di Konfety incorpora un file DEX secondario crittografato all'interno dell'APK principale. Durante l'esecuzione, il malware decripta e carica dinamicamente il contenuto, che include servizi nascosti dichiarati nel file AndroidManifest. La struttura modulare lascia aperte possibilità per l'installazione dinamica di componenti aggiuntivi, consentendo potenzialmente la distribuzione di funzionalità più pericolose sui dispositivi già compromessi.

Una delle tecniche più sofisticate implementate dal malware riguarda la manipolazione della struttura APK per confondere gli strumenti di analisi statica. Gli sviluppatori hanno configurato con "bit 0" il General Purpose Bit Flag, segnalando falsamente che il file è crittografato quando in realtà non lo è. Questa configurazione genera richieste di password fasulle durante i tentativi di ispezione, ostacolando o ritardando l'accesso ai contenuti dell'APK.

Un ulteriore livello di protezione deriva dalla dichiarazione di file critici utilizzando la compressione BZIP (0x000C). Il metodo non risulta supportato da strumenti di analisi comuni come APKTool e JADX, causando errori di parsing che bloccano l'analisi. Android, tuttavia, ignora la dichiarazione e ricorre all'elaborazione predefinita per mantenere la stabilità, permettendo al malware di installarsi senza problemi sul dispositivo.

Dopo l'installazione, Konfety nasconde l'icona e il nome dell'applicazione, utilizzando tecniche di geofencing per modificare il comportamento in base alla regione geografica della vittima. È comunque da notare che il malware viene distribuito attraverso store di terze parti copiando nomi e icone di app legittime disponibili su Play Store: una tecnica nota come "evil twin" (gemello malvagio), usata per ingannare gli utenti che cercano alternative gratuite alle app premium o che non hanno accesso ai servizi Google.

L'adozione di tecniche di offuscamento basate sulla compressione non rappresenta una novità assoluta nel panorama del malware Android, con il nuovo caso che dimostra ancora una volta come gli sviluppatori di malware continuino a perfezionare strategie consolidate già dimostratesi efficaci per eludere i sistemi di sicurezza. Come proteggersi? Semplicissimo: evitare APK provenienti da store dalla dubbia affidabilità, preferendo sempre fonti preinstallate sul proprio smartphone come il Play Store di Google.