안드로이드 악성코드 'Konfety'의 새로운 변종이 발견되었습니다. 이 변종은 잘못된 ZIP 구조와 다른 난독화 방법을 사용하여 분석과 탐지를 피합니다. Konfety는 합법적인 앱처럼 위장하며, Google Play에서 사용 가능한 무해한 제품을 모방하지만, 약속된 기능은 전혀 없습니다. 이 악성코드의 기능은 사용자를 악성 사이트로 리디렉션하거나, 원치 않는 앱 설치를 강요하고, 가짜 브라우저 알림을 보내는 것을 포함합니다. 대신, CaramelAds SDK를 사용하여 숨겨진 광고를 가져오고 렌더링하며, 설치된 앱, 네트워크 구성, 시스템 정보 등의 정보를 유출합니다.
Konfety는 스파이웨어나 RAT 도구는 아니지만, APK 내부에 암호화된 보조 DEX 파일을 포함하고 있습니다. 이 파일은 런타임에 복호화되고 로드되며, AndroidManifest 파일에 선언된 숨겨진 서비스를 포함하고 있습니다. 이는 추가 모듈을 동적으로 설치하는 문을 열어두어, 현재 감염에 더 위험한 기능을 전달할 수 있게 합니다.
모바일 보안 플랫폼 Zimperium의 연구자들은 최신 Konfety 변종을 발견하고 분석하였습니다. 이 악성코드는 실제 성격과 활동을 난독화하는 여러 방법을 사용합니다. Konfety는 Google Play에서 사용 가능한 합법적인 앱의 이름과 브랜딩을 복사하여 설치하도록 피해자를 속이고, 이를 제3자 스토어를 통해 배포합니다. 이러한 전략은 Human의 연구자들이 "악의적인 쌍둥이" 또는 "데코이 쌍둥이"라고 부르는 전략입니다.
- 안드로이드 악성코드 'Konfety'의 새로운 변종이 발견되었다. 이 변종은 잘못된 ZIP 구조와 다른 난독화 방법을 사용하여 분석과 탐지를 피한다.
- Konfety는 합법적인 앱처럼 위장하며, Google Play에서 사용 가능한 무해한 제품을 모방하지만, 약속된 기능은 전혀 없다.
- 이 악성코드는 실제 성격과 활동을 난독화하는 여러 방법을 사용한다. Konfety는 Google Play에서 사용 가능한 합법적인 앱의 이름과 브랜딩을 복사하여 설치하도록 피해자를 속이고, 이를 제3자 스토어를 통해 배포한다.
- Konfety는 스파이웨어나 RAT 도구는 아니지만, APK 내부에 암호화된 보조 DEX 파일을 포함하고 있다. 이 파일은 런타임에 복호화되고 로드되며, AndroidManifest 파일에 선언된 숨겨진 서비스를 포함하고 있다.
- 모바일 보안 플랫폼 Zimperium의 연구자들은 최신 Konfety 변종을 발견하고 분석하였다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.