据移动安全平台Zimperium的研究人员发现,Android恶意软件Konfety的新变种采用了一种畸形的ZIP结构和其他混淆方法,能够成功逃避分析和检测。来源
Konfety伪装成合法应用,模仿Google Play上的无害产品,但实际上没有提供任何承诺的功能。该恶意软件的功能包括将用户重定向到恶意网站、推送不需要的应用安装以及假冒浏览器通知。
Konfety通过将恶意逻辑隐藏在加密的DEX文件中,并在运行时加载,从而实现动态代码加载。这种方法能够有效地进行混淆和逃避检测。此外,Konfety还通过操控APK文件,使静态分析和逆向工程工具出现解析失败,从而阻止或延迟对APK内容的访问。