Специалисты по кибербезопасности обнаружили новую продвинутую версию вредоносной программы для Android под названием Konfety. Она использует необычный приём: создаёт так называемые «двойники» популярных приложений, чтобы тайно заниматься рекламным мошенничеством.
Схема проста: создаются два приложения с одинаковым именем пакета. Одно – легальное и безопасное, его можно найти на Google Play, другое – вредоносная копия, которую распространяют через сторонние сайты и магазины.
Отметим, что безопасное приложение может вообще не иметь отношения к злоумышленникам — это обычная программа из Play Маркета. Вся хитрость в том, что вредонос берёт себе то же имя пакета, что и подлинная версия.
«Те, кто стоит за Konfety, действительно изобретательны — они всё время меняют рекламные сети и постоянно улучшают способы ухода от обнаружения», — рассказывает исследователь из Zimperium zLabs Фернандо Ортега. — «В этот раз мошенники пошли дальше: специально меняют структуру ZIP-файла в APK».
Такая подмена делает вредонос почти невидимым для антивирусов и мешает анализу – стандартные инструменты просто не могут распознать хитро изменённый файл. Помимо этого, главное вредоносное содержимое загружается прямо во время работы приложения, а флаг Bit 0 выставляется так, чтобы система думала, что файл зашифрован.
В результате при попытке проанализировать APK всплывает фейковое окно запроса пароля, и исследователи не могут получить доступ к содержимому.
Ещё одна хитрость — вредонос указывает фальшивое использование BZIP-сжатия в файле манифеста (“AndroidManifest.xml”). Из-за этого инструменты вроде APKTool и JADX часто просто вылетают с ошибками. Подобные трюки встречаются и у других опасных малварей.
Загрузка кода в обход стандартной проверки даёт преступникам практически полную «невидимость»: основной вредоносный код запускается прямо в оперативной памяти, минуя даже защиту паролем.
«Многоуровневое запутывание — от шифрования данных до подмены кода на лету и ложных записей в манифесте — говорит о крутом уровне подготовки авторов Konfety и их стремлении оставаться незамеченными», — добавляет Ортега.
Как и в прошлогодней версии, Konfety задействует SDK CaramelAds для загрузки рекламы, вредоносных обновлений и связи с управляющими серверами злоумышленников.
Вредонос может перенаправлять пользователей на мошеннические сайты, требовать скачивания новых опасных приложений и заваливать браузер бесконечными назойливыми уведомлениями. К тому же иконка вредоносного приложения на устройстве скрыта, а само поведение малвари зависит от страны пользователя благодаря геозонированию.
Параллельно появились и другие опасные инструменты. Например, китайский пакер Ducex, о котором рассказали эксперты ANY.RUN, специально прячет вредоносные компоненты (например, Triada) во фейковых Telegram-приложениях.
«Этот пакер применяет сложное шифрование своих функций с помощью модифицированного алгоритма RC4 и запутанных перестановок данных», — объясняет Али́на Маркова из ANY.RUN. — «Ducex сильно усложняет отладку: он проверяет цифровую подпись APK — если она подделана, приложение просто не запустится, а ещё использует механизмы самозащиты, не давая внешним инструментам контролировать процесс».
Более того, Ducex умеет определять наличие популярных инструментов анализа кода, таких как Frida, Xposed и Substrate, — и сразу завершает работу, если они обнаружены.
В это же время исследователи TU Wien и Университета Байройта описали свежую атаку под названием TapTrap: вредоносное приложение перехватывает нажатия пользователя, накладывает поверх анимацию или игру, а под невидимым слоем внизу размещает собственные элементы интерфейса. Благодаря этому злоумышленники незаметно заставляют пользователя выдать опасные разрешения, внедрить вредонос, открыть камеру и т.п.
«По умолчанию Android показывает анимацию смены окна — например, плавное появление нового экрана», — поясняют эксперты. — «Но малварь может принудительно включить особо долгую и полностью прозрачную анимацию, чтобы реальный экран стал для пользователя невидимым».
В итоге все ваши нажатия происходят не в видимом приложении, а на скрытом уровне. Так вредонос может втянуть вас в выдачу критически важных доступов — и вы сами этого не заметите.
Для примера: мошенническая игра способна незаметно открыть браузер и запросить у пользователя доступ к камере для атакующего сайта.
Причём уязвимость TapTrap актуальна не только для Android, но и для других платформ – открывая путь атакам в стиле tapjacking и web clickjacking. Проблему уже решили в GrapheneOS, Chrome 135 (CVE-2025-3067) и Firefox 136 (CVE-2025-1939), но Android 16 всё ещё остаётся уязвимым.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru