Pratite nas preko RSS-aKonfety: Kameleon koji krade podatke i zaobilazi zaštitu Androida
Mobilni telefoni, 25.07.2025, 14:30 PM
Nova varijanta Android malvera Konfety zabrinula je stručnjake za sajber bezbednost zbog sofisticiranih metoda skrivanja i zaobilaženja zaštite. Konfety se predstavlja kao bezopasna aplikacija, ali ne pruža nijednu od očekivanih funkcija. Umesto toga, korisnika preusmerava na maliciozne sajtove, instalira neželjene aplikacije, prikazuje lažna obaveštenja pregledača, prikazuje skrivene reklame putem CaramelAds SDK-a i krade podatke o uređaju kao što su instalirane aplikacije, sistemska podešavanja i informacije o mreži.
Konfety je prvi put primećen pre godinu dana kada su istraživači iz kompanije HUMAN Security otkrili masovnu prevaru sa oglasima, u kojoj su kao mamci korišćene stotine aplikacija u Google Play prodavnici.
Iako ne spada u klasične špijunske alate ili trojance za daljinsku kontrolu, Konfety u svom APK paketu sadrži sekundarni, šifrovani DEX fajl. On se dešifruje tokom pokretanja aplikacije i sadrži sakrivene servise navedene u AndroidManifest fajlu, što omogućava napadačima da naknadno ubace dodatne maliciozne module.
Istraživači iz kompanije Zimperium su otkrili da malver koristi više nivoa zamagljivanja koda kako bi izbegao analizu. Jedna od ključnih taktika je tzv. „evil twin“ pristup - kopiranje naziva i izgleda legitimnih aplikacija sa Google Playa, iako se malver distribuira preko alternativnih prodavnica aplikacija. Te platforme često privlače korisnike koji traže besplatne verzije komercijalnih aplikacija ili nemaju pristup Google servisima.
Konfety dodatno komplikuje analizu korišćenjem dinamičkog učitavanja koda, pri čemu se zlonamerni kod aktivira samo tokom rada aplikacije. Takođe manipuliše ZIP strukturom APK fajla, podešavajući parametre tako da lažno signaliziraju da je fajl kriptovan, pokrećući zahteve za lozinkom i otežavajući analizu. Uz to koristi BZIP kompresiju, koju mnogi alati (poput APKTool ili JADX) ne podržavaju, što dovodi do grešaka prilikom obrade.
Nakon instalacije, Konfety uklanja svoju ikonu i naziv iz liste aplikacija i koristi geofencing, prilagođavajući ponašanje lokaciji korisnika. Tehnike skrivanja podsećaju na malver koji je ranije otkrio Kaspersky - SoumniBot.
Stručnjaci savetuju korisnicima da ne preuzimaju APK fajlove iz neproverenih izvora i da izbegavaju tzv. sideloading, osim ako to nije apsolutno neophodno. Konfety pokazuje koliko je Android ekosistem ranjiv kada korisnici izađu izvan granica zvanične prodavnice.
Izdvojeno
Apple Pay prevara se širi globalno: jedna poruka dovoljna da ostanete bez novca
Nova prevara cilja korisnike iPhone uređaja širom sveta - prevaranti koriste lažna upozorenja o sumnjivim aktivnostima na Apple Pay nalogu kako bi ... Dalje
Četiri nova Android malvera kradu podatke iz više od 800 aplikacija
Istraživači iz Zimperium zLabs-a otkrili su četiri nove porodice Android malvera koje se trenutno koriste u četiri različite kampanje usmerene na... Dalje
Novi Android malver Mirax pretvara zaražene uređaje u alat za sajber napade
Istraživači iz kompanije Cleafy otkrili su novog Android bankarskog trojanca pod nazivom Mirax, koji se širi Evropom a koji kombinuje daljinski pri... Dalje
NoVoice malver na Google Play: zaraženo 2,3 miliona Android uređaja
Novi Android malver pod nazivom NoVoice otkriven je u Google Play prodavnici, skriven u više od 50 aplikacija koje su zajedno preuzete najmanje 2,3 m... Dalje
Apple napravio neuobičajen potez: bezbednosne zakrpe za iOS 18 zbog DarkSword exploita
Apple je doneo neuobičajenu odluku da zaštiti starije iPhone uređaje, potvrdivši da će objaviti bezbednosno ažuriranje za uređaje koji i dalje ... Dalje
Pratite nas
Nagrade
Prijatelji
