Кибербезопасность столкнулась с новой вариацией вредоносного ПО Konfety для Android. Исследователи обнаружили изощренный метод: зловред использует «злого близнеца» — маскируется под легитимные приложения из Google Play, совпадая по имени пакета, но распространяется через сторонние источники. Фернандо Ортега из Zimperium zLabs отмечает: «Высокоадаптивные злоумышленники постоянно меняют тактику».
Konfety применяет двойную обфускацию. Во-первых, он создает поврежденные APK-файлы, динамически загружая основной DEX-код при запуске. Установка битового флага "Bit 0" имитирует шифрование, вызывая ложный запрос пароля при анализе. Во-вторых, AndroidManifest.xml ложно указывает метод сжатия BZIP, что провоцирует сбой инструментов вроде APKTool. Подобный прием ранее использовал троянец SoumniBot, о чем предупреждал «Лаборатория Касперского».
Зловред активирует скрытые функции через CaramelAds SDK. Он перенаправляет жертв на опасные сайты, навязывает установку приложений, генерирует спам-уведомления и скрывает иконку. Особо опасен геофенсинг — Konfety меняет поведение в зависимости от региона. HUMAN подтверждает: это эволюция прошлогодней версии.
Параллельно набирает обороты китайский упаковщик Ducex. Он маскирует вредоносные нагрузки (например, Triada) в поддельных копиях Telegram. Алина Маркова из детализирует: "Serious obfuscation" включает шифрование функций модифицированным алгоритмом RC4 с перетасовкой данных.
Ducex блокирует анализ на нескольких уровнях. Он проверяет подпись APK и завершает работу при изменении, использует self-debugging через fork и ptrace для противодействия трассировке, а также детектирует Frida, Xposed или Substrate с немедленным самоуничтожением.
Третья угроза — атака TapTrap, использующая уязвимость анимаций Android. Зловред накладывает поверх игр или анимаций невидимые элементы интерфейса. Длительная прозрачная анимация скрывает новый экран, а касания пользователя попадают на скрытые кнопки.
Это позволяет тапджекинг: жертву обманом заставляют установить ПО или выдать разрешения. Например, игра может скрыто открыть браузер, запрашивая доступ к камере для вредоносного сайта. Уязвимость устранена в GrapheneOS, Chrome 135 (CVE-2025-3067) и Firefox 136 (CVE-2025-1939), но Android 16 остается без защиты.
Изображение носит иллюстративный характер
Konfety применяет двойную обфускацию. Во-первых, он создает поврежденные APK-файлы, динамически загружая основной DEX-код при запуске. Установка битового флага "Bit 0" имитирует шифрование, вызывая ложный запрос пароля при анализе. Во-вторых, AndroidManifest.xml ложно указывает метод сжатия BZIP, что провоцирует сбой инструментов вроде APKTool. Подобный прием ранее использовал троянец SoumniBot, о чем предупреждал «Лаборатория Касперского».
Зловред активирует скрытые функции через CaramelAds SDK. Он перенаправляет жертв на опасные сайты, навязывает установку приложений, генерирует спам-уведомления и скрывает иконку. Особо опасен геофенсинг — Konfety меняет поведение в зависимости от региона. HUMAN подтверждает: это эволюция прошлогодней версии.
Параллельно набирает обороты китайский упаковщик Ducex. Он маскирует вредоносные нагрузки (например, Triada) в поддельных копиях Telegram. Алина Маркова из детализирует: "Serious obfuscation" включает шифрование функций модифицированным алгоритмом RC4 с перетасовкой данных.
Ducex блокирует анализ на нескольких уровнях. Он проверяет подпись APK и завершает работу при изменении, использует self-debugging через fork и ptrace для противодействия трассировке, а также детектирует Frida, Xposed или Substrate с немедленным самоуничтожением.
Третья угроза — атака TapTrap, использующая уязвимость анимаций Android. Зловред накладывает поверх игр или анимаций невидимые элементы интерфейса. Длительная прозрачная анимация скрывает новый экран, а касания пользователя попадают на скрытые кнопки.
Это позволяет тапджекинг: жертву обманом заставляют установить ПО или выдать разрешения. Например, игра может скрыто открыть браузер, запрашивая доступ к камере для вредоносного сайта. Уязвимость устранена в GrapheneOS, Chrome 135 (CVE-2025-3067) и Firefox 136 (CVE-2025-1939), но Android 16 остается без защиты.
