Вирус Konfety взломал Android изнутри

Исследователи из zLabs (Zimperium) обнаружили новую версию Android-вредоноса Konfety, которая использует нестандартные техники обхода защитных механизмов. Вирус скрыт в APK-файле с поддельными параметрами сжатия и фальшивым ZIP-форматом. Эти трюки не только сбивают с толку автоматический анализ, но и позволяют вредоносному коду беспрепятственно устанавливаться на миллионы устройств.

Ключевая уловка — изменённый ZIP-файл, в котором указывается фиктивный метод BZIP-сжатия и флаг шифрования. Это вызывает ошибки в популярных утилитах анализа, таких как JADX или APKTool, делая невозможным разбор структуры и выявление вредоносного содержимого до установки. Тем временем Android успешно обрабатывает файл и запускает зараженное приложение без предупреждений.

Внутри скрыт дополнительный шифрованный компонент DEX, загружаемый только во время работы программы. Этот модуль маскируется под недостающие элементы, прописанные в манифесте, и запускается динамически, усиливая шифровку и усложняя обнаружение. Также используется рекламный фреймворк CaramelAds SDK, известный по прошлым фрод-атакам — он позволяет загружать дополнительные модули и связываться с внешними серверами.

Для маскировки Konfety подделывает имена и иконки популярных приложений из Google Play, перенаправляя жертву через цепочку сайтов и запрашивая согласие на сомнительные действия. Новая кампания Konfety стала одним из самых изощренных примеров того, как простые на вид приёмы могут обходить даже самые продвинутые средства защиты, включая антивирусы и песочницы.