Konfety, il malware Android che sfida la sicurezza: imita altre app e raccoglie dati sensibili

La sicurezza digitale è spesso percepita come una spesa superflua, finché non ci si trova faccia a faccia con una minaccia concreta. Questo è particolarmente vero per gli utenti Android che scelgono di scaricare applicazioni da fonti non ufficiali, esponendosi così a rischi significativi. Recentemente, una nuova variante di malware android ha destato grande preoccupazione tra gli esperti di sicurezza: si tratta di konfety, un codice malevolo sofisticato e difficile da individuare.

Gli specialisti di Zimperium hanno recentemente analizzato in profondità questa minaccia, scoprendo che si tratta di un malware in grado di mimetizzarsi perfettamente tra le app legittime. La sua forza risiede nell’adozione di tecniche avanzate di evasione della sicurezza, che gli permettono di sfuggire ai più comuni sistemi di rilevamento e di attaccare soprattutto chi utilizza store di terze parti per scaricare le proprie applicazioni.

Il modus operandi di konfety

Il modus operandi di konfety è tanto semplice quanto efficace: si presenta come clone di app molto popolari, riproducendo fedelmente grafiche, icone e nomi per confondere l’utente. Tuttavia, una volta installato sul dispositivo, il malware non offre alcuna delle funzionalità promesse.

Al contrario, concentra la propria attività su operazioni dannose, come il reindirizzamento verso siti pericolosi, l’installazione forzata di altri software indesiderati e l’invio di notifiche ingannevoli tramite browser.

Capacità di raccogliere dati sensibili

Uno degli aspetti più preoccupanti di questa minaccia è la sua capacità di raccogliere dati sensibili dal dispositivo infetto. Konfety è in grado di estrarre informazioni dettagliate, come l’elenco delle applicazioni installate, le configurazioni di rete e altre informazioni di sistema, che possono essere utilizzate dagli attaccanti per ulteriori scopi malevoli o per la profilazione delle vittime.

L'architettura del malware

L’architettura del malware rivela un livello di sofisticazione superiore rispetto ad altre minacce simili. Un elemento distintivo è l’inclusione del caramelads sdk, che consente la visualizzazione di pubblicità nascoste all’interno delle app compromesse.

Ma la vera insidia è rappresentata da un file DEX secondario criptato, inserito nell’APK manomesso. Questo componente viene decriptato e caricato solo durante l’esecuzione dell’applicazione, permettendo così l’attivazione di servizi nascosti e il download di ulteriori moduli dannosi, rendendo konfety estremamente adattabile e resistente alle tecniche di analisi degli apk tradizionali.

Strategie di evasione

Le strategie di evasione adottate da questo malware sono tra le più avanzate osservate finora: manipolazione della struttura ZIP dell’APK, utilizzo di compressioni non standard e impostazione di flag ingannevoli, che mandano in confusione strumenti di analisi diffusi come APKTool e JADX.

Queste tecniche permettono al malware di passare inosservato durante i controlli, poiché il sistema operativo Android tende a ignorare tali anomalie, consentendo comunque l’installazione dell’applicazione.

Diffusione tramite store di terze parti

La diffusione di konfety avviene prevalentemente tramite store terze parti, indirizzandosi a utenti che cercano versioni gratuite di app a pagamento o che utilizzano dispositivi non più supportati ufficialmente. Questa strategia, nota come “evil twin”, si basa sulla creazione di copie quasi identiche di applicazioni legittime per trarre in inganno gli utenti meno attenti.

Ulteriori livelli di rischio

Nonostante non siano stati ancora riscontrati casi documentati di geofencing implementato da konfety, la sua struttura modulare lascia presagire la possibilità che, in futuro, il malware possa attivare funzionalità specifiche in base alla posizione geografica della vittima. Questa eventualità, se confermata, rappresenterebbe un ulteriore livello di rischio, in grado di rendere ancora più mirati e pericolosi gli attacchi.