Ранее мы писали о том, что специалистами Human Security был обнаружен вредонос Konfety, нацеленный на Android-устройства. Злоумышленники распространяли приложения, содержащие вредоносный рекламный SDK CaramelAds для скрытного просмотра рекламы и выполнения других мошеннических действий на устройстве жертвы.
На этот раз злоумышленники стали использовать дополнительные методы обфускации, чтобы снизить риск обнаружения. Об этом сообщили эксперты из Zimperium zLabs, которые также следят за деятельностью группировки.
Среди методов были обнаружены следующие:
- модификация ZIP-архива: наличие флага в APK-файлах, который заставляет инструменты ошибочно воспринимать его как зашифрованный,
- манипуляция с указанием метода сжатия,
- динамическая загрузка и запуск зашифрованных файлов DEX внутри APK — вторичные исполняемые компоненты загружаются уже во время работы приложения.
Напомним, что зараженные приложения содержат SDK CaramelAds, который позволяет скрытно запускать рекламу на устройстве жертвы, открывать сторонние сайты в браузере, отправлять уведомления с вредоносными ссылками, отслеживать действия пользователей и загружать дополнительные модули.
В мае этого года был обнаружен другой вредонос — Kaleidoscope, который использует аналогичную схему заражения Android-устройств: «Безвредный — Вредоносный». Эксперты считают, что он является эволюцией схемы Konfety. С помощью него злоумышленники превращают смартфоны в мобильный ботнет для накрутки просмотров рекламы.
В начале июля мы рассказали о 352 вредоносных приложениях, зараженных рекламным ПО IconAds.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
