Các nhà nghiên cứu bảo mật từ zLabs đã phát hiện một phiên bản nâng cao hơn của mã độc Android Konfety, sử dụng các thay đổi phức tạp ở cấp độ ZIP để tránh bị phát hiện và bắt chước các ứng dụng chính hãng trên Google Play Store. Điều này cho thấy sự gia tăng đáng kể các mối nguy hiểm di động.
Mã độc này sử dụng chiến lược “evil-twin” (song trùng độc hại), trong đó các phiên bản độc hại được phân phối qua các nguồn của bên thứ ba chia sẻ cùng tên gói (package name) với các ứng dụng lành tính có sẵn trên các cửa hàng ứng dụng chính thức. Điều này giúp tăng cường khả năng tàng hình và đánh lừa của Konfety.
Kỹ Thuật Né Tránh Dựa Trên Cấu Trúc ZIP
Thao Túng Cấu Trúc Tệp APK
Bằng cách can thiệp vào cấu trúc ZIP của tệp APK, Konfety phá vỡ các công cụ đảo ngược mã (reverse engineering tools) phổ biến. Cụ thể, mã độc này kích hoạt cờ mục đích chung (general purpose flag – bit 00) để giả mạo thông báo mã hóa và khai báo một phương pháp nén BZIP không được hỗ trợ (0x000C) cho các tệp quan trọng như AndroidManifest.xml.
Những thay đổi này khiến các tiện ích như APKTool và JADX hoặc yêu cầu mật khẩu không tồn tại hoặc bị lỗi hoàn toàn, từ đó ngăn chặn việc giải nén và phân tích mã độc.
Điều đáng chú ý là quá trình cài đặt của Android vẫn xử lý được các gói bị biến dạng này một cách “duyên dáng” (gracefully). Hệ thống sẽ tự động chuyển sang xử lý các tệp dưới dạng lưu trữ (stored) thay vì nén, đảm bảo việc triển khai liền mạch mà không cảnh báo người dùng hoặc hệ thống.
Cơ Chế Tải Mã Động và Che Giấu Logic
Tải DEX Động và Che Giấu Thành Phần
Khả năng thích ứng của mã độc Konfety còn được thể hiện rõ qua cơ chế tải mã động (dynamic code loading). Trong đó, các tài nguyên được mã hóa bên trong tệp APK che giấu một tệp Dalvik Executable (DEX) thứ cấp.
Tệp DEX ẩn này chỉ được giải mã và thực thi trong thời gian chạy (runtime). Nó chứa các thành phần không được khai báo như activities, services và receivers, vốn được tham chiếu trong manifest nhưng lại không có trong codebase chính.
Kỹ thuật làm xáo trộn (obfuscation) này không chỉ che chắn logic độc hại trong các lần quét tĩnh mà còn tích hợp với CaramelAds SDK cho các hoạt động lừa đảo quảng cáo (ad fraud).
Lợi Dụng SDK Quảng Cáo cho Hoạt Động Lừa Đảo
Mặc dù bản thân CaramelAds SDK không độc hại, Konfety đã khai thác nó để lấy quảng cáo, cài đặt các payload thông qua sideloading, và duy trì liên lạc bí mật với các máy chủ do kẻ tấn công kiểm soát. Tất cả những hành vi này đều được thực hiện trong khi bắt chước các hành vi ứng dụng hợp pháp thông qua kỹ thuật định vị địa lý (geofencing) và ẩn biểu tượng ứng dụng (icon hiding).
Đặc Điểm Nhận Dạng và Mối Liên Kết Chiến Dịch
Phân tích xác nhận mối liên hệ của Konfety với các chiến dịch trước đây, bao gồm cả những chiến dịch được báo cáo bởi Human, thông qua các dấu hiệu đặc trưng như một cửa sổ bật lên (popup) về thỏa thuận người dùng (User Agreement) và một mẫu biểu thức chính quy (regular expression pattern) @injseq được nhúng trong mã.
Các ứng dụng “mồi nhử” (decoy applications) trên Play Store, mang cùng tên gói nhưng không có bất kỳ chức năng độc hại nào, đóng vai trò ngụy trang hoàn hảo, cho phép mã độc hòa trộn mà không cần tái tạo các tính năng chính hãng.
Chuỗi Tấn Công và Tác Động
Khi thực thi, Konfety chuyển hướng người dùng đến các trang web lừa đảo thông qua các phiên trình duyệt, bắt đầu kết nối đến các tên miền độc hại. Chuỗi chuyển hướng này dẫn đến các trang web ép buộc cài đặt ứng dụng trái phép hoặc kích hoạt thông báo trình duyệt dai dẳng.
Các tên miền liên quan đến hoạt động này (Indicators of Compromise – IOCs) bao gồm:
hxxp://push.razkondronging.com/register?uid=XXXXXX
Điều này dẫn đến các cảnh báo giống thư rác (spam-like alerts) và cài đặt ứng dụng không mong muốn thông qua sideload, gây ảnh hưởng nghiêm trọng đến quyền riêng tư của người dùng và tính toàn vẹn của thiết bị.
Khả Năng Thích Ứng của Kẻ Tấn Công
Các tác nhân đe dọa (threat actors) thể hiện khả năng thích ứng cao, thường xuyên cập nhật các mạng quảng cáo mục tiêu và các phương pháp né tránh để vượt qua các hệ thống phát hiện.
Kết Luận và Khuyến Nghị Phòng Ngừa
Bằng cách kết hợp thao túng cấu trúc ZIP, giải mã trong thời gian chạy, và khai báo manifest lừa đảo, Konfety minh họa sự tinh vi ngày càng tăng của mã độc Android. Mã độc này đặt ra những thách thức lớn cho các chuyên gia bảo mật và nhấn mạnh nhu cầu về các công cụ phân tích tiên tiến có khả năng chống lại các thao tác cấp độ thấp như vậy.
Để giảm thiểu rủi ro từ mối đe dọa dai dẳng này, người dùng nên kiểm tra kỹ các nguồn ứng dụng trước khi cài đặt, bật tính năng Play Protect trên thiết bị Android, và theo dõi các hoạt động mạng bất thường.
