Konfetyは、以前から広く展開されているAndroid向けマルウェアです。
Google Play Store上で250以上のデコイアプリを利用し、それらに似せた「悪意のあるツイン」アプリを隠すことで広告詐欺を行う大規模な作戦を展開します。
そんなKonfetyなのですが、現在も変更が継続されていて、新たな機能を搭載した亜種が展開されていることが確認されました。
- 回避作戦1:デュアルアプリの欺瞞
無害なアプリ (公式ストア) とサードパーティのソースから配布される悪意のあるバージョンの両方に同じパッケージ名を使用します。
Android アプリのパッケージ名は、アプリを一意に識別するための文字列で、通常はドメイン名を逆から記述した形式 (例: com.example.myapp) を使用します。
通常の管理システムでは、パッケージ名が同一のアプリは同一のアプリと想定されて動作します。 - 回避作戦2:ZIPレベルの回避
改ざんされたAPK構造(サポートされていない圧縮、偽の暗号化フラグなど)により、一般的な分析ツールが意図動作せず、リバースエンジニアリングが複雑になります。
通常は暗号化された形式でAPKが作成されている際に設定される汎用フラグのビットが設定された状態になっています。実際にはそうではないのですが。
さらに、サポートされていない圧縮形式で圧縮されているように宣言された状態になっています。しかし、実際には圧縮されていないです。
こういった加工で解析を回避するような機構になっています。 - 回避作戦3:動的コード読み込み
実行時にのみ復号化され実行される暗号化されたペイロード内の主要な機能を隠します。
実際にマルウェアを動作させて多段階のペイロード入手まで進ませないと、全体の解析は実施できません。 - 回避作戦4:ステルス技術
アプリアイコンを非表示にし、正規のアプリを模倣し、ジオフェンシングを適用して地域ごとに動作を調整します。
menu機能を提供するアプリなどは通常のアプリ一覧に表示されないような形でインストールされますが、それと同じように通常のアプリ一覧に表示されない状態でインストールされます。
そして、地理情報を取得し、地域毎に想定された動作を開始します。
このように、Konfetyにはいくつもの回避機構が実装されて現在活動を継続しています。
このところ多く見られるデコイ系のマルウェアでは、偽装している元のアプリの機能はそのまま使えるというタイプのものもありますが、このKonfetyは異なります。
そもそも期待される機能はなにも動作しません。
そして、期待機能が動作しないだけでなく、ユーザーを悪意のあるサイトにリダイレクトしたり、不要なアプリのインストールを強制したり、偽のブラウザ通知を表示したり、隠し広告を取得してレンダリングし、インストールされているアプリ、ネットワーク構成、システム情報などの情報を盗み出したりします。
ひどいですね。
Konfetyは現時点ではサードパーティーのアプリストアから配布されています。
正規のアプリストアなら万全かというと難しいところですが、少なくとも、サードパーティーのアプリストアの利用は注意したいですね。
Konfety Returns: Classic Mobile Threat with New Evasion Techniques
https://zimperium.com/blog/konfety-returns-classic-mobile-threat-with-new-evasion-techniques
| この記事をシェア |
|
|---|
