Pratite nas preko RSS-aKonfety: Kameleon koji krade podatke i zaobilazi zaštitu Androida
Mobilni telefoni, 25.07.2025, 14:30 PM
Nova varijanta Android malvera Konfety zabrinula je stručnjake za sajber bezbednost zbog sofisticiranih metoda skrivanja i zaobilaženja zaštite. Konfety se predstavlja kao bezopasna aplikacija, ali ne pruža nijednu od očekivanih funkcija. Umesto toga, korisnika preusmerava na maliciozne sajtove, instalira neželjene aplikacije, prikazuje lažna obaveštenja pregledača, prikazuje skrivene reklame putem CaramelAds SDK-a i krade podatke o uređaju kao što su instalirane aplikacije, sistemska podešavanja i informacije o mreži.
Konfety je prvi put primećen pre godinu dana kada su istraživači iz kompanije HUMAN Security otkrili masovnu prevaru sa oglasima, u kojoj su kao mamci korišćene stotine aplikacija u Google Play prodavnici.
Iako ne spada u klasične špijunske alate ili trojance za daljinsku kontrolu, Konfety u svom APK paketu sadrži sekundarni, šifrovani DEX fajl. On se dešifruje tokom pokretanja aplikacije i sadrži sakrivene servise navedene u AndroidManifest fajlu, što omogućava napadačima da naknadno ubace dodatne maliciozne module.
Istraživači iz kompanije Zimperium su otkrili da malver koristi više nivoa zamagljivanja koda kako bi izbegao analizu. Jedna od ključnih taktika je tzv. „evil twin“ pristup - kopiranje naziva i izgleda legitimnih aplikacija sa Google Playa, iako se malver distribuira preko alternativnih prodavnica aplikacija. Te platforme često privlače korisnike koji traže besplatne verzije komercijalnih aplikacija ili nemaju pristup Google servisima.
Konfety dodatno komplikuje analizu korišćenjem dinamičkog učitavanja koda, pri čemu se zlonamerni kod aktivira samo tokom rada aplikacije. Takođe manipuliše ZIP strukturom APK fajla, podešavajući parametre tako da lažno signaliziraju da je fajl kriptovan, pokrećući zahteve za lozinkom i otežavajući analizu. Uz to koristi BZIP kompresiju, koju mnogi alati (poput APKTool ili JADX) ne podržavaju, što dovodi do grešaka prilikom obrade.
Nakon instalacije, Konfety uklanja svoju ikonu i naziv iz liste aplikacija i koristi geofencing, prilagođavajući ponašanje lokaciji korisnika. Tehnike skrivanja podsećaju na malver koji je ranije otkrio Kaspersky - SoumniBot.
Stručnjaci savetuju korisnicima da ne preuzimaju APK fajlove iz neproverenih izvora i da izbegavaju tzv. sideloading, osim ako to nije apsolutno neophodno. Konfety pokazuje koliko je Android ekosistem ranjiv kada korisnici izađu izvan granica zvanične prodavnice.
Izdvojeno
NoVoice malver na Google Play: zaraženo 2,3 miliona Android uređaja
Novi Android malver pod nazivom NoVoice otkriven je u Google Play prodavnici, skriven u više od 50 aplikacija koje su zajedno preuzete najmanje 2,3 m... Dalje
Apple napravio neuobičajen potez: bezbednosne zakrpe za iOS 18 zbog DarkSword exploita
Apple je doneo neuobičajenu odluku da zaštiti starije iPhone uređaje, potvrdivši da će objaviti bezbednosno ažuriranje za uređaje koji i dalje ... Dalje
Novi Android malver Perseus krade lozinke, bankovne podatke i lične beleške
Novi Android malware nazvan Perseus širi se kroz aplikacije za gledanje televizije putem interneta, sa ciljem krađe lozinki, bankovnih podataka i sa... Dalje
Nova zaštita od Android malvera: Google uvodi 24h čekanja za instalaciju aplikacija van Play prodavnice
Google je najavio novi „advanced flow“ za sideloading aplikacija na Androidu, koji uvodi obavezni period čekanja od 24 sata pre instalaci... Dalje
Nova iOS pretnja DarkSword zaobilazi zaštite i krade podatke korisnika
Istraživači kompanije za mobilnu bezbednost Lookout otkrili su novu kampanju koja koristi exploit kit za iOS uređaje pod nazivom DarkSword, koji om... Dalje
Pratite nas
Nagrade
Prijatelji
