Konfetyモバイルマルウェア

サイバーセキュリティ研究者は、悪名高いAndroidマルウェア「Konfety」の高度な亜種を発見しました。この亜種は、Evil Twinの手法を駆使して大規模な広告詐欺を実行しています。この手法は、モバイルエコシステムを標的とする脅威の複雑さが増していることを浮き彫りにしています。

悪魔の双子戦略の説明

新たに確認された手法では、同じパッケージ名を持つアプリの2つのバージョンが作成されます。1つはGoogle Playストアでよく見られる正規の無害なアプリで、もう1つは悪意のある「双子」アプリです。これはサードパーティのソースから配布されます。注目すべきは、おとりアプリは必ずしも攻撃者自身が作成したものではなく、多くの場合、既にPlayストアに存在する正規のアプリであるということです。唯一の要件は、悪意のあるバージョンが同一のパッケージ名を使用していることです。これにより、悪意のあるバージョンの存在を隠蔽するのに役立ちます。

適応力と高度な技術

Konfetyの背後にいるアクターたちは、ターゲット広告ネットワークを頻繁に変更し、検出を回避する技術を洗練させており、驚くべき適応力を発揮しています。最新の亜種は、APKのZIP構造を改ざんすることで、この能力をさらに強化しています。不正なAPKを使用することで、攻撃者はセキュリティチェックを回避し、リバースエンジニアリングを困難にしています。攻撃者は実行時にメインのDalvik Executable（DEX）ペイロードを動的に読み込み、同時に特定のZIPフラグを有効にすることで、システムがファイルが暗号化されていると誤認するのです。これにより、検査中に偽のパスワードプロンプトが表示され、アナリストによるコンテンツへのアクセスが事実上ブロックされます。

圧縮トリックと分析の妨害

Konfetyは、AndroidManifest.xmlファイル内でBZIP圧縮方式を使用していると虚偽の記述をすることで、難読化をさらに進めています。この虚偽の記述は、解析エラー、特定の解析ツールのクラッシュ、フォレンジック調査の遅延を引き起こす可能性があります。同様の圧縮ベースの回避策は、以前SoumniBotマルウェアでも確認されており、これはAndroidマルウェア開発における新たなトレンドの一環であることが示唆されています。

動的コード読み込みによるステルス

Konfetyのステルス性において、動的なコードロードは重要な役割を果たしています。このマルウェアは実行時にDEXペイロードを復号し、メモリに直接ロードすることで、アプリのインストール時や静的解析時に行われる通常のセキュリティチェックを回避します。暗号化されたアセットと誤解を招くマニフェストエントリと組み合わせることで、この階層化された難読化戦略は、Konfetyの検出とリバースエンジニアリングに対する耐性を特に高めています。

悪意のある機能とジオフェンシング

Konfetyは、以前のバージョンと同様に、CaramelAds SDKを統合し、広告の取得、追加のペイロードの配信、攻撃者が管理するサーバーとの通信を維持します。広告詐欺に加え、ユーザーを悪意のあるウェブサイトにリダイレクトしたり、不要なアプリのインストールを開始したり、スパムのようなブラウザ通知を執拗にプッシュしたりする機能も備えています。さらに、Konfetyはアプリアイコンを非表示にし、ジオフェンシング技術を用いて被害者の地理的位置に基づいて動作を変化させます。

まとめ

Konfetyの進化は、モバイルマルウェアの高度化が明らかにエスカレートしていることを反映しています。高度なAPK改ざん、動的なコードインジェクション、そして欺瞞的な設定の組み合わせは、セキュリティ制御を回避し、感染デバイス上で永続性を維持しようとする脅威アクターの継続的な革新を物語っています。