C’è un nuovo malware per Android che si sta rivelando particolarmente insidioso. Si chiama Konfety, e le sue strategie anti-rilevamento sono così sofisticate da mandare in crisi anche gli strumenti usati dagli analisti di sicurezza.
E mentre inganna gli utenti promettendo funzionalità inesistenti, Konfety si insinua nei sistemi tramite APK modificati ad arte, dimostrando come il pericolo possa annidarsi anche dove meno ce lo aspettiamo.
Konfety si presenta come una falsa app Android, che ricalca fedelmente nome e icona di applicazioni legittime presenti sul Play Store. Questo approccio, chiamato in gergo “evil twin” (il gemello malvagio), permette al malware di ingannare facilmente chi cerca versioni gratuite di app a pagamento o app per dispositivi non supportati dai servizi Google.
Una volta installata, l’app non offre ovviamente le funzioni attese, ma al contrario utilizza pubblicità nascoste (cioè che l’utente non vede, ma ci sono), genera notifiche ingannevoli del browser, installa app non volte e rimanda l’utente verso siti sospetti.
Ma non si ferma qui. Konfety raccoglie anche informazioni sensibili come elenco delle app installate, configurazioni di rete e altri dati di sistema.
Il cuore del comportamento malevolo è contenuto in un secondo file DEX cifrato, nascosto dentro l’APK e caricato solo durante l’esecuzione. Questo file contiene servizi non dichiarati visibilmente ma registrati nel manifest dell’app, consentendo al malware di aggiornarsi e scaricare nuovi moduli potenzialmente ancora più pericolosi anche dopo l’installazione.
A complicare le cose, dopo l’installazione Konfety nasconde la propria icona e adotta un sistema di geofencing, modificando il suo comportamento a seconda dell’area geografica in cui si trova il dispositivo. Un’ulteriore barriera per sfuggire al rilevamento automatico da parte degli antivirus.
Ma perché Konfety è così difficile da individuare?
Una delle sue tecniche più ingegnose dell’ultima variante di Konfety consiste nel modificare la struttura ZIP dell’APK, attivando il cosiddetto General Purpose Bit Flag: un’opzione che fa credere ai tool di analisi che i file siano cifrati, anche se non lo sono. Questo trucco provoca richieste di password false e blocchi nell’analisi statica, rallentando o impedendo del tutto il lavoro degli analisti.
In parallelo, alcuni file critici vengono compressi con algoritmi non supportati da strumenti diffusi come APKTool o JADX (per esempio BZIP con identificativo 0x000C), causando errori di parsing e crash degli strumenti.
La presenza di un DEX cifrato caricabile a runtime rappresenta un altro ostacolo importante: il codice realmente pericoloso non è visibile finché l’app non è in esecuzione, eludendo così le scansioni tradizionali. Inoltre, il fatto che Android stesso ignori le compressioni dichiarate ma non supportate, eseguendo comunque l’app, rende queste tecniche ancora più efficaci.
Insomma, il consiglio è quello universale di sempre: evitare di installare APK da fonti di terze parti e di affidarsi solo al Play Store o ad altri negozi virtuali di comprovata affidabilità (tipo quello dei principali produttori).
L’articolo C’è una nuova minaccia per Android: un malware invisibile che contagia “i furbetti” sembra essere il primo su Smartworld.
