اكتشف باحثون في مجال الأمن السيبراني نسخة جديدة متقدمة من برمجية Android المعروفة باسم Konfety، والتي تستخدم تقنية “التوأم الشرير” لتنفيذ عمليات احتيال إعلاني. تعتمد هذه الطريقة على وجود نسختين من التطبيق تحملان نفس اسم الحزمة: إحداهما تطبيق شرعي (واجهة خادعة) متاح عبر متجر Google Play، والأخرى نسخة خبيثة يتم توزيعها عبر مصادر خارجية.
اللافت أن التطبيقات الشرعية المستخدمة كواجهة قد لا تكون من تطوير المهاجمين أنفسهم، بل تطبيقات حقيقية يتطابق معها اسم الحزمة في النسخة الخبيثة.
وأوضح الباحث الأمني في Zimperium، فرناندو أورتيغا، أن “الجهات المسؤولة عن Konfety تظهر مستوى عالياً من التكيف، حيث تغير الشبكات الإعلانية المستهدفة وتُحدّث أساليبها باستمرار لتفادي الاكتشاف”، مشيراً إلى أن السلالة الجديدة تتلاعب ببنية ملف الـ APK.
تقنيات معقدة لإخفاء الشيفرة الخبيثة
تعتمد النسخة الجديدة على استخدام ملفات APK مشوّهة تُصعّب من عملية تحليل الشيفرة الهندسية العكسية، حيث تُحمّل الشيفرة التنفيذية (DEX) الأساسية بشكل ديناميكي أثناء التشغيل. كما يتم تفعيل “العلم العام” في الملف بالإشارة إلى أن المحتوى مشفّر، مما يؤدي إلى ظهور نافذة مزيفة تطلب كلمة مرور عند محاولة فحص الملف.
بالإضافة إلى ذلك، تعلن البرمجية كذباً استخدام ضغط BZIP داخل ملف AndroidManifest.xml، مما يؤدي إلى تعطّل أدوات التحليل مثل APKTool وJADX عند محاولة فتح الحزمة. سبق وأن تم رصد أسلوب مشابه في برمجية SoumniBot التي حلّلتها كاسبرسكي سابقاً.
وأشار فريق Zimperium إلى أن هذه الطبقات المتعددة من التمويه، والتي تشمل تحميل الشيفرة وقت التشغيل، وتشفير الملفات، والتلاعب ببيانات الملف التعريفي، تعكس تطور عملية Konfety وسعيها الدائم لتجاوز أدوات الكشف والحماية.
استغلال SDK شرعي وتكتيكات جغرافية
كما هو الحال في النسخ السابقة التي رُصدت العام الماضي، تستخدم Konfety حزمة تطوير برمجيات CaramelAds لعرض الإعلانات الخبيثة، وتنفيذ الحمولات، والتواصل مع خوادم التحكم. تتيح البرمجية توجيه الضحايا إلى مواقع ضارة، وتشغيل إعلانات غير مرغوب فيها، وتثبيت تطبيقات خبيثة، وإخفاء أيقونة التطبيق، واستخدام التحديد الجغرافي لتغيير سلوكها بحسب موقع الضحية.
أدوات تغليف صينية جديدة تُخفي برمجيات خبيثة
يتزامن هذا التطور مع تقرير نشرته منصة ANY.RUN حول أداة تغليف صينية تُعرف باسم Ducex، مصممة لإخفاء الحمولات مثل برمجية Triada داخل تطبيقات مزيفة لتلغرام. تستخدم Ducex تقنيات تشفير معقدة تعتمد على خوارزمية RC4 المعدلة، وتُجري تحققاً من توقيع التطبيق، وتمنع التحليل عبر أدوات مثل Frida وXposed وSubstrate.
تقنية TapTrap لتجاوز نظام أذونات أندرويد
في سياق موازٍ، نشر باحثون من جامعتي TU Wien وBayreuth دراسة عن تقنية جديدة تُعرف باسم TapTrap تتيح للتطبيقات الخبيثة تجاوز نظام أذونات أندرويد سراً وتنفيذ إجراءات حساسة دون علم المستخدم. تقوم البرمجية بعرض رسوميات أو ألعاب تُخفي خلفها شاشات نظام حقيقية يتم التفاعل معها دون إدراك، ما يُمكّن المهاجم من سرقة بيانات أو الحصول على أذونات حساسة.
قال الباحثون إن “التطبيق يمكنه الطلب من النظام استخدام رسوميات انتقالية مخصصة تكون طويلة الأمد وتُخفي الشاشة الجديدة تماماً، وبالتالي يتم تمرير نقرات المستخدم إلى تلك الشاشة المخفية”.
في سيناريو هجومي افتراضي، يمكن للعبة خبيثة أن تفتح جلسة تصفح سرية وتخدع المستخدم لمنح أذونات الوصول للكاميرا لموقع ضار دون علمه.
