Содержание |
Хроника
2025: Заражение миллиона устройств
Специалисты по кибербезопасности из компании Zimperium обнаружили усовершенствованную версию Android-вредоноса Konfety, которая использует нестандартные ZIP-архивы и зашифрованный код для обхода систем защиты. Вирус проник в Google Play, в результате чего зараженными оказались миллионы устройств по всему миру. Об этом стало известно в середине июля 2025 года.
Вредоносное программное обеспечение способно эффективно обходить автоматические средства анализа и оставаться незамеченным на устройствах пользователей. Новая версия применяет динамическую подгрузку зашифрованного исполняемого кода во время работы, что существенно усложняет его обнаружение.
Главной особенностью обновленной версии стала хитрая модификация ZIP-архива в APK-файле. Злоумышленники включили флаг, который заставляет многие инструменты анализа ошибочно воспринимать файл как зашифрованный. Некоторые утилиты требуют пароль для распаковки, другие вообще не могут разобрать структуру файла.В «Т1» — большое укрупнение. TAdviser составил карту активов холдинга 
Дополнительную путаницу вызывает указание несоответствующего метода сжатия в AndroidManifest.xml. Файл утверждает, что используется BZIP, но фактически никакого сжатия этим способом не происходит. Это приводит к частичной распаковке или сбоям в инструментах анализа, что серьезно усложняет работу с зараженными файлами.
Операционная система Android обрабатывает такие нестандартные ZIP-файлы без сбоев и успешно устанавливает вредоносное приложение, не выдавая предупреждений. Специализированные инструменты анализа, такие как APKTool и JADX, могут выдать запрос на несуществующий пароль или завершить работу с ошибкой.
Новая версия Konfety применяет динамическую подгрузку зашифрованного исполняемого кода во время работы. Заранее он не виден при стандартной проверке APK-файла. Внутри вредоносного приложения присутствует вторичный файл формата DEX, зашифрованный и спрятанный в ресурсах.[1]
