نوع جدید و پیچیدهای از بدافزار اندرویدی Konfety پدیدار شده است که با ساختار ZIP ناقص به همراه سایر روشهای مبهمسازی، دارای قابلیت فرار از تجزیه و تحلیل است و از تکنیک evil twin برای کلاهبرداری تبلیغاتی استفاده میکند.
Konfety خود را به عنوان برنامه قانونی جا میزند و از محصولات بیخطر موجود در گوگل پلی تقلید میکند، اما هیچ یک از قابلیتهای وعده داده شده را ندارد. قابلیتهای این بدافزار شامل هدایت کاربران به سایتهای مخرب، نصب اپلیکیشنهای ناخواسته و نوتیفیکیشنهای جعلی مرورگر است. در عوض، با استفاده از CaramelAds SDK، تبلیغات پنهان را دریافت و نمایش میدهد و اطلاعاتی مانند اپلیکیشنهای نصب شده، پیکربندی شبکه و اطلاعات سیستم را استخراج میکند. اگرچه Konfety جاسوسافزار یا ابزار RAT نیست، اما شامل فایل DEX ثانویه رمزگذاریشده در داخل APK است که در زمان اجرا رمزگشایی و بارگذاری میشود و حاوی سرویسهای پنهان اعلام شده در فایل AndroidManifest است.
این امر، راه را برای نصب پویای ماژولهای اضافی باز میکند و در نتیجه امکان ارائه قابلیتهای خطرناکتر در آلودگیهای فعلی را فراهم میکند. محققان پلتفرم امنیت موبایل Zimperium جدیدترین نوع Konfety را کشف و تجزیه و تحلیل کردند و گزارش دادند که این بدافزار از چندین روش برای پنهانسازی ماهیت و فعالیت واقعی خود استفاده میکند. بدافزار مذکور با کپی کردن نام و برند اپلیکیشنهای قانونی موجود در گوگلپلی و توزیع آن از طریق فروشگاههای شخص ثالث، قربانیان را برای نصب فریب میدهد، تاکتیکی که محققان Human آن را “evil twin” یا “decoy twin” مینامند.
https://www.bleepingcomputer.com/news/security/android-malware-konfety-uses-malformed-apks-to-evade-detection/
https://thehackernews.com/2025/07/new-konfety-malware-variant-evades.html
