Neue Android-Malware umgeht Erkennung durch APK-Manipulation

LONDON (IT BOLTWISE) – Eine neue Variante der Android-Malware Konfety sorgt für Aufsehen in der Sicherheitsbranche. Diese Malware nutzt ausgeklügelte Techniken, um Erkennungsmechanismen zu umgehen und Ad-Fraud zu betreiben.

Die kürzlich entdeckte Variante der bekannten Android-Malware Konfety zeigt, wie raffiniert Cyberkriminelle mittlerweile vorgehen, um ihre schädlichen Aktivitäten zu verschleiern. Diese Malware nutzt die sogenannte “Evil Twin”-Technik, bei der zwei Versionen einer App mit demselben Paketnamen existieren: eine harmlose Version im Google Play Store und eine bösartige Variante, die über Drittanbieterquellen verbreitet wird. Diese Methode ermöglicht es den Angreifern, legitime Apps zu imitieren und so unbemerkt zu bleiben.

Besonders bemerkenswert ist, dass die Angreifer nicht unbedingt selbst die harmlosen Apps veröffentlichen müssen. Es reicht aus, dass die schädlichen Apps denselben Paketnamen wie ihre legitimen Gegenstücke im Play Store tragen. Dies macht es für Nutzer und Sicherheitsforscher gleichermaßen schwierig, die bösartigen Apps zu identifizieren.

Die Forscher von Zimperium zLabs, darunter Fernando Ortega, haben festgestellt, dass die Angreifer die ZIP-Struktur der APK-Dateien manipulieren, um die Erkennung zu umgehen. Durch die Verwendung von fehlerhaften APKs können sie die Analysewerkzeuge täuschen und die Rückverfolgung erschweren. Eine der Techniken besteht darin, das Haupt-DEX-Payload zur Laufzeit dynamisch zu laden und dabei das allgemeine Bit-Flag auf “Bit 0” zu setzen, was dem System signalisiert, dass die Datei verschlüsselt ist.

Diese Verschleierungstaktik führt dazu, dass beim Versuch, das Android-Paket zu inspizieren, ein falsches Passwort abgefragt wird, was den Zugriff blockiert und die Analyse der Inhalte erschwert. Eine weitere Methode besteht darin, die Verwendung der BZIP-Komprimierungsmethode im Manifest der App falsch anzugeben, was dazu führt, dass Analysetools wie APKTool und JADX aufgrund eines Parsing-Fehlers abstürzen.

Die Malware nutzt auch dynamisches Code-Loading, um das primäre Payload auszuführen, was zusätzliche Tarnung während der initialen Scans oder der Rückverfolgung bietet. Während der Ausführung wird das DEX-Payload entschlüsselt und direkt in den Speicher geladen, ohne dass rote Fahnen ausgelöst werden. Diese mehrschichtige Verschleierung, die verschlüsselte Assets, Laufzeit-Code-Injektion und täuschende Manifest-Deklarationen kombiniert, zeigt die fortschreitende Raffinesse der Konfety-Operation und ihre kontinuierlichen Bemühungen, Analysen zu umgehen und Erkennungsmechanismen zu überlisten.

Wie bereits in einer früheren Iteration von HUMAN im letzten Jahr berichtet, missbraucht Konfety das CaramelAds-Software-Development-Kit (SDK), um Anzeigen abzurufen, Payloads zu liefern und die Kommunikation mit von Angreifern kontrollierten Servern aufrechtzuerhalten. Die Malware kann Benutzer auf bösartige Websites umleiten, unerwünschte App-Installationen anstoßen und hartnäckige Spam-ähnliche Browser-Benachrichtigungen auslösen. Zudem verbirgt die Malware ihr App-Icon und nutzt Geofencing, um ihre Funktionalität je nach Region des Opfers zu ändern.

Parallel dazu hat ANY.RUN ein chinesisches Android-Packer-Tool namens Ducex detailliert beschrieben, das hauptsächlich dazu entwickelt wurde, eingebettete Payloads wie Triada in gefälschten Telegram-Apps zu verbergen. Dieses Tool verwendet eine ernsthafte Verschleierung durch Funktionsverschlüsselung mit einem modifizierten RC4-Algorithmus und zusätzlichem Shuffling, was erhebliche Hürden für das Debugging schafft.

Die Entdeckungen erfolgen zeitgleich mit einer neuen Studie von Forschern der TU Wien und der Universität Bayreuth über eine neuartige Technik namens TapTrap, die von einer bösartigen App genutzt werden kann, um das Berechtigungssystem von Android heimlich zu umgehen und Zugriff auf sensible Daten zu erhalten oder destruktive Aktionen auszuführen. Der Angriff kapert Benutzerinteraktionen auf Android-Geräten, indem er Animationen oder Spiele über den Bildschirm legt, während er heimlich Benutzeroberflächenelemente darunter startet, die Benutzer dazu verleiten, unerwünschte Aktionen auszuführen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!