Uma nova e astuciosa variante do malware para Android, apelidada de Konfety, está a conseguir contornar as ferramentas de análise e deteção através de uma estrutura de ficheiro ZIP malformada e outras técnicas de ofuscação. Este software malicioso disfarça-se de aplicações legítimas, prometendo funcionalidades que nunca entrega, com o objetivo de infetar o maior número possível de dispositivos.
O Konfety mascara-se ao imitar produtos inócuos disponíveis na Google Play, mas na realidade, a sua única função é redirecionar os utilizadores para sites maliciosos, forçar a instalação de aplicações indesejadas e apresentar notificações falsas no navegador. Para além disso, recorre ao SDK CaramelAds para apresentar anúncios ocultos e roubar informações do dispositivo, como a lista de aplicações instaladas, configurações de rede e dados do sistema.
Como é que o Konfety engana as ferramentas e os utilizadores?
A principal tática de distribuição do Konfety é o que os investigadores da empresa de segurança Human apelidaram de "evil twin" (gémeo malvado). Os operadores do malware copiam o nome e a imagem de aplicações legítimas e distribuem estas cópias maliciosas através de lojas de aplicações de terceiros. Estas lojas são frequentemente procuradas por utilizadores que querem versões "gratuitas" de apps pagas, que pretendem evitar o rastreio da Google, ou que possuem um dispositivo Android sem suporte ou acesso aos serviços oficiais.
A análise da Zimperium, uma plataforma de segurança móvel, revela que o Konfety utiliza métodos pouco comuns para se esconder. Um deles passa por manipular os ficheiros APK (o pacote de instalação das apps Android) de forma a confundir ou bloquear as ferramentas de análise estática. O APK sinaliza que o ficheiro está encriptado, quando na verdade não está, fazendo com que as ferramentas de inspeção peçam uma palavra-passe inexistente.
Adicionalmente, ficheiros críticos dentro do APK são declarados com um método de compressão BZIP, que não é suportado por ferramentas de análise populares como o APKTool e o JADX. Isto resulta numa falha de leitura que impede a análise, mas que o sistema operativo Android ignora, recorrendo a um método de processamento padrão para manter a estabilidade. O resultado é que a aplicação maliciosa instala-se e funciona no telemóvel sem qualquer problema.
Quais os perigos para o seu smartphone?
Embora o Konfety não seja classificado como spyware ou uma ferramenta de acesso remoto (RAT), a sua arquitetura é alarmante. Inclui um ficheiro DEX secundário (que contém o código executável) encriptado dentro do APK. Este ficheiro só é desencriptado e carregado quando a aplicação já está a correr, mantendo os seus serviços maliciosos ocultos.
Esta técnica de carregamento dinâmico de código deixa a porta aberta para a instalação de módulos adicionais no futuro, permitindo que os atacantes introduzam funcionalidades muito mais perigosas nas infeções já existentes. Após a instalação, o Konfety esconde o seu ícone e nome, e utiliza geofencing para adaptar o seu comportamento à região da vítima.
Um método que não é totalmente novo
A ofuscação baseada em métodos de compressão não é uma estreia no mundo do malware para Android. Como destacado num relatório da Kaspersky de abril de 2024 sobre o malware SoumniBot, essa técnica já tinha sido observada. Nesse caso, o SoumniBot declarava um método de compressão inválido no ficheiro AndroidManifest.xml e confundia as ferramentas de análise com outros truques.
Como sempre, a recomendação de segurança é clara: evite instalar ficheiros APK de lojas de aplicações de terceiros e confie apenas em software de editoras que conhece e que estão presentes nas lojas oficiais.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech