Accueil » , » Le malware Android Konfety

Le malware Android Konfety

Aucun commentaire

Le malware Android Konfety

malware Android Konfety

À la mi-juillet 2025, les chercheurs en cybersécurité ont mis au jour une nouvelle variante du malware Android nommé Konfety. Cette version se distingue par des techniques d’obfuscation avancées destinées à contourner les solutions de détection, tout en poursuivant ses opérations de fraude publicitaire via des applications “jumeaux malveillants”.

Contexte et méthode “evil twin”

Konfety s'appuie sur une approche dite “evil twin” ou “décoy jumeau” : l’attaquant publie une application malveillante portant exactement le même nom de package qu’une application légitime présente sur le Play Store. Le but ? Tromper les victimes pour qu’elles installent la version vérolée depuis un magasin tiers, pensant obtenir une application authentique.

Le terme "evil twin" n’est pas nouveau, mais ici l’opération est élevée au rang d’industrie : les applications malveillantes copient minutieusement la réputation, le nom et parfois même la taille de l’application originale, si bien que l’utilisateur ne voit souvent aucune différence – outre l’absence de fonctionnalités réelles.

Techniques d’obfuscation et d’évasion

Structure ZIP/APK déformée

Les chercheurs de Zimperium zLabs ont identifié que cette variante utilise une structure malformed ZIP/APK, basée sur deux tricks :

  • Flag de chiffrement illusoire : le bit 0 du champ "General Purpose Flags" est activé, faisant croire à la plupart des outils que l’APK est chiffré, nécessitant un mot de passe et bloquant la lecture du fichier.
  • Compression BZIP fictive : la déclaration d’un mode de compression “BZIP” dans le manifeste Android provoque l’échec d’analyseurs comme APKTool ou JADX, tandis qu’Android installe toujours l’application sans difficulté.

Chargement dynamique du code (DEX)

Comme dans les variantes précédentes, le code malveillant principal est dissimulé dans un fichier DEX chiffré à l’intérieur de l’APK. Ce dernier n’est pas visible après un dépaquetage statique. Il est déchiffré et chargé uniquement à l’exécution, souvent directement en mémoire, ce qui rend la détection extrêmement difficile.

SDK public pour fraude publicitaire

Konfety exploite le SDK de CaramelAds, un réseau de publicité légitime, pour :

  • Générer des impressions et clics frauduleux.
  • Rediriger les utilisateurs vers des sites malveillants.
  • Pousser l’installation d’applications indésirables.
  • Envoyer de fausses notifications persistantes dans le navigateur.

Objectifs et capacités

Bien que Konfety ne soit pas un spyware ou un logiciel de type RAT, ses fonctionnalités incluent :

  • Exfiltration d’informations non sensibles : applications installées, configuration réseau, système – données utiles à la fraude.
  • Installation d’extensions ou modules additionnels via le DEX dynamique.
  • Protection de sa visibilité : disparition de l’icône de l’application.
  • Usage de la géofencing : son comportement change selon la région géographique de la victime.

Risques pour les utilisateurs et entreprises

  • Fraude publicitaire massive : le malware génère des revenus pour les opérateurs illégaux via des campagnes automatisées.
  • Menace pour la vie privée : bien que non ciblé pour le vol de données sensibles, il collecte des informations système précieuses pour les attaquants.
  • Difficultés de détection : les outils classiques échouent face aux APK corrompus et aux structures trompeuses.
  • Propagation accrue en Europe : les hubs Android non-GMS sont particulièrement vulnérables, notamment dans la sideloading et les stores alternatifs.

Conseils de protection et détection

Pour atténuer les risques liés à Konfety :

  1. Installer uniquement via le Play Store : les boutiques tierces sont le principal vecteur.
  2. Contrôler les sources inconnues et appliquer une politique stricte de sideloading.
  3. Utiliser des solutions MTD (Mobile Threat Defense) capables d’analyser la structure APK et le comportement runtime.
  4. Former les utilisateurs à vérifier nom de package, éditeur, permissions, et à se méfier des apps inutiles.
  5. Intégrer la veille sur les menaces mobiles et mettre à jour les signatures régulièrement.
  6. Déployer des techniques d’analyse dynamiques pour détecter le chargement de DEX et les comportements suspects en mémoire.

Évolution et légitimité

L’utilisation de techniques d’obfuscation avancées (APK déformée, faux flag, compression BZIP fictive) illustre l’évolution vers une génération de malware Android hautement sophistiquée. Konfety rejoint ainsi des menaces comparables, comme SoumniBot, qui cherchent à désarmer l’analyse statique.

En résumé

La nouvelle variante de Konfety confirme une tendance préoccupante : les malwares mobiles exploitent désormais des constructions APK truquées pour contourner les mécanismes de sécurité statiques et dynamiques. Ce niveau d'ingéniosité, combiné à la diffusion via des magasins tiers et la fraude publicitaire automatisée, en fait un acteur dangereux dans un écosystème Android globalisé. Face à ce défi, seule une approche holistique — mêlant technologies adaptées, vigilance des utilisateurs et intelligence actionable — permettra d’en limiter la propagation.

Partager sur :

Aucun commentaire:

Enregistrer un commentaire

Populaires

Tags