Siber güvenlik araştırmacıları, KONFETY olarak adlandırılan bilinen bir Android kötü amaçlı yazılımın yeni, sofistike bir varyantını keşfettiler.
Sinsi yaklaşım esas olarak bir uygulamanın iki varyantının aynı paket adını paylaştığı bir senaryoyu içerir: Google Play Store’da barındırılan iyi huylu bir “Decoy” uygulaması ve üçüncü taraf kaynakları aracılığıyla dağıtılan Evil Twin.
Tuzak uygulamalarının tehdit aktörleri tarafından mutlaka yayınlanması gerekmediğini ve meşru olabileceğini belirtmek gerekir. Tek uyarı, kötü amaçlı uygulamaların, Play Store’da bulunan gerçek muadilleriyle aynı paket adlarını paylaşmasıdır.
Zimperium Zlabs araştırmacısı Fernando Ortega, “Konfety’nin arkasındaki tehdit aktörleri oldukça uyarlanabilir, hedeflenen reklam ağlarını tutarlı bir şekilde değiştiriyor ve tespitten kaçınmak için yöntemlerini güncelliyor.” Dedi. “Bu son varyant, APK’nın fermuar yapısına özel olarak kurcalayarak sofistike olduklarını gösteriyor.”
Kötü biçimlendirilmiş APK’ları kullanarak taktik, tehdit aktörlerinin tespiti azaltmasına ve tersine mühendislik çabalarına meydan okumasına izin verir. Yeni keşfedilen sürümler, ana DEX (Dalvik Yürütülebilir) yükünü çalışma zamanında dinamik olarak yüklemenin yanı sıra, genel amaçlı bit bayrağını, dosyanın şifrelendiğini sisteme işaret ederek “Bit 0” olarak ayarlayarak etkinleştirir.
Bu davranış, Android paketini incelemeye çalışırken yanlış bir şifre istemini tetikler, böylece erişimi engeller ve içeriğini analiz etme girişimlerini karmaşıklaştırır.
İkinci teknik, uygulamanın manifest XML dosyasında (“AndroidManifest.xml”) BZIP sıkıştırma yönteminin kullanımını yanlış bir şekilde bildirmektedir ve bu da apktool ve JADX gibi analiz araçlarının ayrıştırma hatası nedeniyle çökmesine neden olur. Benzer bir sıkıştırma tabanlı savunma kaçırma tekniği daha önce Soumnibot adlı başka bir Android kötü amaçlı yazılımda Kaspersky tarafından vurgulanmıştı.
Zimperium, birincil yükü yürütmek için dinamik kod yüklemesinin kullanılmasının, ilk taramalar veya ters mühendislik sırasında eklenen gizli sağladığını belirtti. Yürütme sırasında, DEX yükü şifre çözülür ve herhangi bir kırmızı bayrak çekmeden doğrudan belleğe yüklenir.
Ortega, “Şifreli varlıkları birleştiren bu çok katmanlı gizleme yaklaşımı, çalışma zamanı kodu enjeksiyonu ve aldatıcı tezahür bildirimlerini, konfety operasyonunun gelişen sofistike olmasını ve analizden kaçınmak ve tespit mekanizmalarından kaçınmak için sürekli çabalarını göstermektedir.” Dedi.
Geçen yıl insan tarafından bildirilen önceki yinelemede olduğu gibi, Konfety, Reklamlar almak, yükler sunmak ve saldırgan kontrollü sunucularla iletişimi sürdürmek için Caramelads Yazılım Geliştirme Kitini (SDK) kötüye kullanıyor.
Kullanıcıları kötü amaçlı web sitelerine yönlendirme, istenmeyen uygulama yüklemeleri ve kalıcı spam benzeri tarayıcı bildirimlerini tetikleme özellikleri ile birlikte gelir. Ayrıca, kötü amaçlı yazılım uygulama simgesini gizler ve kurbanın bölgesine göre işlevselliğini değiştirmek için geofencing kullanır.
Geliştirme, Ducex olarak bilinen ve esas olarak sahte telgraf uygulamalarında Triada gibi gömülü yükleri gizlemek için tasarlanmış bir Çin Android Packer aracını ayrıntılı olarak açıkladı.
Run araştırmacısı Alina Markova, “Packer, herhangi bir karıştırma ile değiştirilmiş bir RC4 algoritması kullanılarak fonksiyon şifrelemesi yoluyla ciddi bir şaşkınlık kullanıyor.” Dedi. “Ducex, hata ayıklama için büyük barikatlar oluşturur. APK imza doğrulaması gerçekleştirir, uygulama yeniden imzalanırsa başarısız olur. Aynı zamanda harici izlemeyi engellemek için çatal ve pTRACE kullanarak kendini aşamalı olarak kullanır.”
Bunun da ötesinde, Ducex, FRIDA, Xposed ve Substrat gibi popüler analiz araçlarının varlığını tespit etmek için tasarlanmıştır ve varsa kendini sonlandırmak.
Bulgular ayrıca, TU Wien ve Bayreuth Üniversitesi’nden bir araştırmacı ekibi tarafından Taptrap olarak adlandırılan ve Android’in izin sistemini gizlice atlamak için kötü niyetli bir uygulama tarafından silahlandırılabilen yeni bir teknik hakkında yayınlanan yeni bir çalışmayı takip ediyor.
Kısaca saldırı, bir kullanıcının ekranında animasyonları veya oyunları kaplayarak Android cihazlardaki kullanıcı etkileşimlerini, bu hile kullanıcılarının altındaki kullanıcı arayüz öğelerini kötü amaçlı yazılım yükleme veya uygulama müdahaleci izinleri vermek gibi istenmeyen eylemler gerçekleştirmeleri için gizlice başlatır.
Araştırmacılar Philipp Beer, Marco Squarcina, Sebastian Roth ve Martina Lindorfer, “Normalde Android, yeni ekran kayma veya solma gibi ekran değiştiğinde bir animasyon gösterir.” Dedi. “Ancak, uygulama sistemi uzun süredir devam eden ve yeni ekranı tamamen şeffaf hale getirerek sizden gizli tutarak özel bir animasyon kullanılması gerektiğini söyleyebilir.”
“Bu animasyon sırasında yaptığınız herhangi bir musluk, görünür uygulamaya değil, gizli ekrana gider. Uygulama, bunu ekranın gizli ekranda hassas eylemlere karşılık gelen ve bilginiz olmadan işlem yapmasına izin veren belirli alanlara dokunmak için sizi kullanabilir.”
https://www.youtube.com/watch?v=-xma6dx7cb8
Varsayımsal bir saldırı senaryosunda, kurban tarafından yüklenen bir tehdit aktöre serbest bırakılan oyun gizlice bir web tarayıcı oturumu açabilir ve onları kötü amaçlı bir web sitesine kamera izinleri vermeye çalışabilir.
Bununla birlikte, TapTrap’ın etkisi Android ekosisteminin ötesine uzanıyor ve kapıyı musluk ve web tıklama saldırılarına açıyor. Sorun grafeneos, Chrome 135 (CVE-2025-3067) ve Firefox 136’da (CVE-2025-1939) ele alınmıştır. Android 16 saldırıya karşı duyarlı kalmaya devam ediyor.