Zimperiumは7月15日(米国時間)、「Konfety Returns: Classic Mobile Threat with New Evasion Techniques」において、Android向けマルウェア「Konfety」の亜種を発見したと報じた。

このマルウェアはHUMANが報じたマルウェアのプリインストール事案において確認された「Evil Twin(悪魔の双子)」と呼ばれる手法を使用して配布されたという(参考:「マルウェア入りAndroidデバイス、100万台以上販売 - 世界中に拡散 | TECH+(テックプラス)」)。

  • Konfety Returns: Classic Mobile Threat with New Evasion Techniques

    Konfety Returns: Classic Mobile Threat with New Evasion Techniques

新たな戦術で検出を回避

Zimperiumの分析によると、この亜種はインストール時の検出回避に新しい戦術を使用したという。Androidはアプリのインストール時にパッケージを解析するが、攻撃者はAPKファイルの基本構造となるZIPアーカイブに細工を加えることで、Androidによる解析を妨害すると共にインストールプロセスの続行を可能にしたという。また、実行時に悪意のあるコードを抽出、組み込むことで静的分析を妨害し、さらに多層的な難読化手法を使用することで動的分析も妨害したとされる。

アプリの配布手法としては「Evil Twin(悪魔の双子)」と呼ばれる手法が使用された。これは同一のアプリIDを持つ異なるアプリを使用する手法で、公式Google Playストアにマルウェアを含まないアプリを掲載することで、他方の悪意のあるアプリの検出を回避する。

影響と対策

このマルウェアに感染すると、悪意のあるWebサイトにリダイレクトして悪意のあるアプリや不要なアプリのインストールを要求されるようになる。さらに大量かつ執拗なWebブラウザの通知が届くようになる。

初期の感染経路は定かでないが、配布手法として「Evil Twin(悪魔の双子)」を使用していることから、被害者を非公式のアプリ配布サイトに誘導してインストールさせたとみられる。同様の攻撃を回避するために、Androidユーザーには公式サイト以外からアプリをインストールしないことが推奨される。

Zimperiumは調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)およびMITRE ATT&CKを公開しており、必要に応じて対策に活用することが望まれている。