Prima di procedere
Negli ultimi anni, il mondo delle minacce informatiche che prendono di mira i dispositivi Android si è evoluto rapidamente, adottando nuove e sophisticated techniques per aggirare i monitoraggi e colpire anche gli utenti più esperti. Una delle varianti più recenti, segnalata dai ricercatori di Zimperium, è il malware Konfety. Questa particolare forma di malware è progettata per evadere le analisi statiche e i controlli antivirus tradizionali grazie a un insieme di tecniche raffinate, tra cui l'uso di APK malformati, codice crittografato, e inganni ben orchestrati.
Konfety si presenta come un'app innocua, spesso una versione modificata di applicazioni popolari presenti sul Google Play Store, ma in realtà viene distribuita tramite store non ufficiali e siti di terze parti. Questa tecnica, nota come gemello malvagio, sfrutta l'abitudine di molti utenti di scaricare APK da fonti non affidabili per evitare il monitoraggio di Google, continuare a utilizzare dispositivi obsoleti o accedere a versioni premium gratuite delle app.
Una volta installato, il malware Konfety inizia immediatamente a operare raccogliendo dati sensibili e generando profitti illeciti. Tra le sue funzionalità, vi è la capacità di reindirizzare gli utenti verso siti malevoli o pagine di phishing, installare app non desiderate in background, mostrare notifiche false nei browser e recuperare annunci pubblicitari tramite il framework CaramelADS SDK. Inoltre, il malware può raccogliere informazioni sensibili come l'elenco delle app installate, la configurazione di rete e i dettagli del sistema.
A differenza di spyware o trojan di controllo remoto, Konfety si concentra principalmente sulla monetizzazione aggressiva e sul furto di informazioni basilari, pur lasciando aperta la possibilità di evolversi in una minaccia più pericolosa. Una delle caratteristiche più preoccupanti di Konfety è la sua avanzata capacità di offuscamento che rende difficile la rilevazione da parte dei ricercatori di sicurezza e degli strumenti di scansione. Tra le tecniche identificate vi sono:
- Caricamento dinamico del codice: il malware include un file DEX crittografato che viene decrittografato ed eseguito solo durante il runtime, con servizi nascosti nel file AndroidManifest pronti a installare moduli aggiuntivi.
- Manipolazione della struttura ZIP dell'APK: viene attivato un flag che inganna gli strumenti di analisi a credere che l'APK sia crittografato, innescando richieste di password false e impedendo l'accesso ai contenuti.
- Compressione BZIP: i file critici vengono compressi con un metodo non supportato da strumenti come APKTool, rendendo complessa la loro decodifica.
- Geofencing: il comportamento del malware varia in base alla località dell'utente, complicando ulteriormente le analisi.
Android, ignorando questi metodi di compressione non validi, permette l'installazione, mentre i software di sicurezza vengono confusi, consentendo a Konfety di operare senza essere notato. Anche se l'uso di compressioni e dichiarazioni non valide non è una novità, come dimostra il caso di SoumniBot, Konfety introduce un livello di sofisticazione che ne fa uno degli esempi più evoluti di manipolazione dell'APK.
Per proteggersi da Konfety, il primo passo è evitare di installare APK da store di terze parti o fonti non verificate. Anche app apparentemente legittime e ben recensite possono nascondere versioni modificate e malevole. In generale, è importante:
- Affidarsi al Play Store o a fonti ufficiali e certificate per il download delle applicazioni;
- Tenere attiva la protezione Google Play Protect;
- Verificare le autorizzazioni richieste dalle app durante l'installazione;
- Diffidare dei siti che promettono versioni premium gratuite di app note.
Implementare queste misure di sicurezza può ridurre significativamente il rischio di infezione da parte di Konfety e altre minacce simili su dispositivi Android.
