Một biến thể mới cực kỳ tinh vi của phần mềm độc hại Konfety vừa được các nhà nghiên cứu bảo mật phát hiện. Theo TechRadar, biến thể này sử dụng kỹ thuật làm sai lệch cấu trúc tệp cài đặt APK để che giấu mã độc, khiến hầu hết phần mềm bảo mật không thể phát hiện.
Cụ thể, theo báo cáo từ hãng bảo mật zLabs, Konfety đã bật một cờ hiệu giả trong tệp APK, đánh lừa các công cụ phân tích rằng tệp đã được mã hóa. Thực tế, đây chỉ là chiêu đánh lừa khiến công cụ quét bị lỗi hoặc “đọc sai” nội dung bên trong.
Chưa dừng lại, Konfety còn khai báo sai chuẩn nén của tệp, khiến việc giải nén bị gián đoạn hoặc thất bại hoàn toàn. Hai lớp phòng vệ này khiến quá trình phân tích và dịch ngược mã trở nên cực kỳ khó khăn.
Ngoài việc “ngụy trang” trong tệp cài đặt, Konfety còn kết hợp chiêu trò “ứng dụng kép” để phát tán phần mềm độc hại. Theo đó, một phiên bản ứng dụng “sạch” được tải lên các kho ứng dụng uy tín, trong khi phiên bản chứa mã độc được phát hành từ nguồn ngoài.
Khi đã cài đặt, ứng dụng sẽ ẩn biểu tượng khỏi màn hình chính, sử dụng kỹ thuật định vị để tránh bị phát hiện ở các khu vực của chuyên gia bảo mật. Sau đó, nó liên tục chuyển hướng người dùng đến các trang web độc hại, hiện thông báo giả, hoặc mời cài đặt ứng dụng không mong muốn.
Các chuyên gia cảnh báo, biến thể mới của Konfety là minh chứng cho mức độ tinh vi ngày càng tăng của phần mềm độc hại trên Android, và người dùng nên hạn chế cài ứng dụng từ nguồn không chính thống.
