Aplicativos maliciosos ofuscados controlados por IA que ignoram a detecção de antivírus para entregar cargas maliciosas – Against Invaders

Aplicativos maliciosos ofuscados controlados por IA que ignoram a detecção de antivírus para entregar cargas maliciosas - Against Invaders

Pesquisadores de segurança cibernética identificaram uma sofisticada campanha de malware que utiliza inteligência artificial para aprimorar técnicas de ofuscação, permitindo que aplicativos maliciosos contornem os sistemas tradicionais de detecção de antivírus.

Os agentes de ameaças por detrás da campanha estão a distribuir aplicações trojanizadas que se fazem passar por um importante serviço de entrega coreano, empregando uma abordagem multicamadas para escapar aos controlos de segurança e manter uma infra-estrutura persistente de comando e controlo (C2).

A campanha de malware demonstra uma escalada significativa na sofisticação ao integrar a tecnologia de IA nas soluções de ofuscação e empacotamento ProGuard.

Os analistas de segurança descobriram que nomes de variáveis, identificadores de classe e nomes de funções foram deliberadamente obscurecidos usando strings coreanas sem sentido de oito caracteres, tornando a engenharia reversa significativamente mais desafiadora.

Essa abordagem orientada por IA para ofuscação de nomes representa um afastamento dos padrões convencionais de ofuscação estática, que normalmente seguem características previsíveis detectáveis ​​por ferramentas de segurança.

A metodologia de ofuscação empregada mostra sofisticação deliberada no tratamento de nomes de recursos.

Embora os nomes de classes e funções tenham sido fortemente obscurecidos, os identificadores de recursos permanecem inalterados, uma decisão tática que sugere que os atores da ameaça entendam as compensações entre a evasão de detecção e a funcionalidade do aplicativo.

Essa estratégia de ofuscação seletiva indica um agente de ameaça maduro, capaz de equilibrar a segurança operacional com a manutenção da funcionalidade do malware.

Representação de serviço legítimo

O malware emprega uma dupla abordagem engenharia social abordagem para ganhar a confiança e as permissões do usuário.

Quando os usuários instalam o aplicativo trojanizado, ele exibe uma interface semelhante a um serviço legítimo de rastreamento de entrega.

Ao receber permissões, o aplicativo se conecta a um site real de rastreamento de entrega usando números de rastreamento gerados aleatoriamente, criando uma ilusão de funcionalidade legítima enquanto opera código malicioso em segundo plano.

Essa abordagem combinada, que combina integração autêntica de serviços com implantação de carga maliciosa, aumenta significativamente as taxas de infecção bem-sucedidas, mantendo a confiança do usuário durante a fase crítica de concessão de permissão.

A campanha utiliza uma abordagem de infraestrutura engenhosa para manter capacidades persistentes de comando e controle.

Em vez de depender de domínios C2 tradicionais, os atores da ameaça codificam endereços de servidor em postagens de blog hospedadas em plataformas de portais coreanas.

Quando o aplicativo malicioso é executado, ele recupera dinamicamente o endereço C2 do conteúdo do blog, transformando efetivamente plataformas legítimas em repositórios de infraestrutura para canais de comando.

Além disso, os agentes da ameaça comprometeram sites legítimos e os redirecionaram como C2 seRversão sem conhecimento do administrador.

Essa abordagem oferece diversas vantagens: os invasores obtêm resiliência contra esforços de remoção, exploram certificados HTTPS legítimos para comunicações criptografadas e mantêm uma negação plausível em relação a atividades maliciosas.

Os administradores do site continuam sem saber que programas externos sequestraram a sua infraestrutura para fins de exfiltração de dados.

Implicações e desafios de detecção

Esta campanha destaca o cenário de ameaças em evolução, onde as técnicas de evasão aprimoradas por IA convergem com estratégias de infraestrutura criativas.

Quando o aplicativo é iniciado, ele solicita as permissões necessárias para realizar comportamentos maliciosos do usuário.

A detecção tradicional baseada em assinatura torna-se menos eficaz quando os padrões de ofuscação não têm consistência ou dependem de Gerado por IA esquemas de nomenclatura que não seguem convenções previsíveis.

A integração de serviços legítimos e infra-estruturas comprometidas complica ainda mais a detecção, uma vez que o tráfego parece originar-se de fontes confiáveis.

Os profissionais de segurança devem implementar mecanismos de detecção baseados em comportamento, capazes de identificar padrões suspeitos de uso de permissões, anomalias de tráfego de rede para plataformas de portais coreanas incomuns e tentativas não autorizadas de exfiltração de dados.

As organizações também devem realizar auditorias regulares de segurança em sua infraestrutura web para identificar o uso não autorizado de C2 e implementar controles de acesso adicionais para evitar tais comprometimentos.

O surgimento de técnicas de ofuscação baseadas em IA sinaliza que os agentes de ameaças estão adotando progressivamente tecnologias avançadas para manter a eficácia do malware, exigindo que as equipes de segurança evoluam metodologias de detecção de acordo.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.