Le malware Android Konfety

À la mi-juillet 2025, les chercheurs en cybersécurité ont mis au jour une nouvelle variante du malware Android nommé Konfety. Cette version se distingue par des techniques d’obfuscation avancées destinées à contourner les solutions de détection, tout en poursuivant ses opérations de fraude publicitaire via des applications “jumeaux malveillants”.

Contexte et méthode “evil twin”

Konfety s'appuie sur une approche dite “evil twin” ou “décoy jumeau” : l’attaquant publie une application malveillante portant exactement le même nom de package qu’une application légitime présente sur le Play Store. Le but ? Tromper les victimes pour qu’elles installent la version vérolée depuis un magasin tiers, pensant obtenir une application authentique.

Le terme "evil twin" n’est pas nouveau, mais ici l’opération est élevée au rang d’industrie : les applications malveillantes copient minutieusement la réputation, le nom et parfois même la taille de l’application originale, si bien que l’utilisateur ne voit souvent aucune différence – outre l’absence de fonctionnalités réelles.

Techniques d’obfuscation et d’évasion

Structure ZIP/APK déformée

Les chercheurs de Zimperium zLabs ont identifié que cette variante utilise une structure malformed ZIP/APK, basée sur deux tricks :

• Flag de chiffrement illusoire : le bit 0 du champ "General Purpose Flags" est activé, faisant croire à la plupart des outils que l’APK est chiffré, nécessitant un mot de passe et bloquant la lecture du fichier.
• Compression BZIP fictive : la déclaration d’un mode de compression “BZIP” dans le manifeste Android provoque l’échec d’analyseurs comme APKTool ou JADX, tandis qu’Android installe toujours l’application sans difficulté.

Chargement dynamique du code (DEX)

Comme dans les variantes précédentes, le code malveillant principal est dissimulé dans un fichier DEX chiffré à l’intérieur de l’APK. Ce dernier n’est pas visible après un dépaquetage statique. Il est déchiffré et chargé uniquement à l’exécution, souvent directement en mémoire, ce qui rend la détection extrêmement difficile.

SDK public pour fraude publicitaire

Konfety exploite le SDK de CaramelAds, un réseau de publicité légitime, pour :

• Générer des impressions et clics frauduleux.
• Rediriger les utilisateurs vers des sites malveillants.
• Pousser l’installation d’applications indésirables.
• Envoyer de fausses notifications persistantes dans le navigateur.

Objectifs et capacités

Bien que Konfety ne soit pas un spyware ou un logiciel de type RAT, ses fonctionnalités incluent :

• Exfiltration d’informations non sensibles : applications installées, configuration réseau, système – données utiles à la fraude.
• Installation d’extensions ou modules additionnels via le DEX dynamique.
• Protection de sa visibilité : disparition de l’icône de l’application.
• Usage de la géofencing : son comportement change selon la région géographique de la victime.

Risques pour les utilisateurs et entreprises

• Fraude publicitaire massive : le malware génère des revenus pour les opérateurs illégaux via des campagnes automatisées.
• Menace pour la vie privée : bien que non ciblé pour le vol de données sensibles, il collecte des informations système précieuses pour les attaquants.
• Difficultés de détection : les outils classiques échouent face aux APK corrompus et aux structures trompeuses.
• Propagation accrue en Europe : les hubs Android non-GMS sont particulièrement vulnérables, notamment dans la sideloading et les stores alternatifs.

Conseils de protection et détection

Pour atténuer les risques liés à Konfety :

1. Installer uniquement via le Play Store : les boutiques tierces sont le principal vecteur.
2. Contrôler les sources inconnues et appliquer une politique stricte de sideloading.
3. Utiliser des solutions MTD (Mobile Threat Defense) capables d’analyser la structure APK et le comportement runtime.
4. Former les utilisateurs à vérifier nom de package, éditeur, permissions, et à se méfier des apps inutiles.
5. Intégrer la veille sur les menaces mobiles et mettre à jour les signatures régulièrement.
6. Déployer des techniques d’analyse dynamiques pour détecter le chargement de DEX et les comportements suspects en mémoire.

Évolution et légitimité

L’utilisation de techniques d’obfuscation avancées (APK déformée, faux flag, compression BZIP fictive) illustre l’évolution vers une génération de malware Android hautement sophistiquée. Konfety rejoint ainsi des menaces comparables, comme SoumniBot, qui cherchent à désarmer l’analyse statique.

En résumé

La nouvelle variante de Konfety confirme une tendance préoccupante : les malwares mobiles exploitent désormais des constructions APK truquées pour contourner les mécanismes de sécurité statiques et dynamiques. Ce niveau d'ingéniosité, combiné à la diffusion via des magasins tiers et la fraude publicitaire automatisée, en fait un acteur dangereux dans un écosystème Android globalisé. Face à ce défi, seule une approche holistique — mêlant technologies adaptées, vigilance des utilisateurs et intelligence actionable — permettra d’en limiter la propagation.

Lire la suite

Les extensions malveillantes sur Chrome

Extensions malveillantes sur Chrome : comprendre les risques et se protéger

Les extensions Chrome peuvent enrichir votre navigateur avec des fonctionnalités utiles comme la météo, les VPN, ou les raccourcis. Toutefois, une menace sérieuse émerge : des extensions malveillantes dissimulées parmi des utilitaires légitimes ciblent des millions d’utilisateurs, compromettant la vie privée et la sécurité.

État des lieux : des millions d’installations à risque

En juillet 2025, Koi Security a mis en lumière une dizaine d’extensions malveillantes totalisant 1,7 million de téléchargements sur le Chrome Web Store. Parmi elles : intensificateur de son, VPN, clavier emoji, contrôleur de vitesse vidéo… Des outils anodins, mais capables d’injecter un code espion.

Même schéma pour Chromium Edge : environ 600 000 installations supplémentaires, soit 2,3 millions d’utilisateurs compromis.

En parallèle, d’autres acteurs malveillants ont orchestré des campagnes massives. Plus de 100 extensions malveillantes actives ont été détectées depuis 2024, continuant à siphonner sessions, cookies, compteurs d’ads, et données sensibles.

Comment ces extensions fonctionnent-elles ?

Dissimilation sous couvert d’utilitaires utiles : la tactique est simple : proposer un outil fonctionnel (VPN, météo, clavier emoji…), se rendant donc populaire avec de bons avis, puis injecter du code malveillant via les mises à jour.

Infection via les mises à jour : Google autorise les mises à jour silencieuses. Les auteurs intègrent le code espion une fois l’extension bien en place, sans interaction de l’utilisateur.

Exfiltration des données : en arrière-plan (« service worker »), l’extension écoute chaque navigation, envoie l’URL + un identifiant unique vers un serveur malveillant. Ce dernier peut renvoyer des règles, redirections, ou scripts coercitifs.

Stage avancé : vol d’identifiants et cookies : de nombreuses extensions interceptent vos cookies, jetons d’accès et peuvent se comporter en VPN ou proxy inline, ce qui ouvre la porte à la prise de contrôle de comptes.

Technique de l’extension « muable » : le groupe SquareX Labs a identifié des modules qui désactivent une extension légitime, plantent un clone visuel et la remplacent sournoisement — vous restez sur l’illusion alors que l’extension est un piège.

Cas concrets et statistiques

— 1,7 million d’installations sur Chrome pour une douzaine d’extensions malveillantes.

— 600 000 installations sur Edge, soit 2,3 millions d’utilisateurs au total.

— Plus de 100 extensions malveillantes détectées depuis début 2024.

— 30 extensions ciblées fin 2024 : 20 voleurs de cookies, 10 traqueurs via bibliothèques monétisées.

— 57 extensions suspectées actives récemment, représentant 6 millions d’installations.

Cadre réglementaire et protection

Politique Chrome Web Store : Google affirme que moins de 1 % des installations étaient potentiellement infectées. Depuis janvier 2025, des outils comme Manifest V3 limitent drastiquement les capacités malveillantes (évaluation académique : pertes d’API de 87 %, mais 56 % des malwares restent efficaces).

Mesures pour entreprises : avec Chrome Enterprise, les administrateurs peuvent restreindre les extensions validées, retirer celles déjà installées et bloquer les installations futures.

Bonnes pratiques pour l’utilisateur

1. Limiter le nombre d’extensions installées et ne garder que celles strictement nécessaires.

2. Vérifier les autorisations demandées : attention aux extensions qui réclament un accès total aux données.

3. Consulter les avis extérieurs, notamment les forums de cybersécurité.

4. Observer tout changement de comportement après une mise à jour.

5. Utiliser un antivirus moderne avec protection comportementale web.

6. Surveiller les connexions ouvertes sur vos comptes sensibles.

7. Supprimer toute extension douteuse ou inutile via le menu « Extensions ».

En résumé

Le succès des extensions Chrome est contrebalancé par l’exploitation des failles du système : mises à jour silencieuses, permissions excessives, clones visuels, exfiltration de données. Chaque utilisateur doit adopter des réflexes de prudence : installer peu, réviser souvent, vérifier les droits. Pour Google, renforcer le contrôle qualité, les alertes comportementales et l’analyse automatique sont essentiels. L’écosystème des extensions ne peut évoluer sans préserver sa confiance.

Source : BleepingComputer - Malicious Chrome extensions with 1.7M installs found on Web Store.

Lire la suite

SparkKitty, un malware voleur

Contexte et origine

SparkKitty semble être l’évolution d’un malware précédent, SparkCat, découvert en janvier 2025 par Kaspersky. SparkCat utilisait la technologie OCR (reconnaissance optique de caractères) pour extraire des phrases de récupération (« seed phrases ») de portefeuilles cryptos à partir de captures d’écran.

Les phrases de récupération permettent à un attaquant de restaurer un wallet sur un autre appareil et donc de dérober des actifs numériques. Bien que déconseillée, la capture d’écran de ces phrases reste une pratique courante de certains utilisateurs.

Cibles et vecteurs d’attaque

Depuis au moins février 2024, la campagne SparkKitty s’est propagée via :

• Applications sur les stores officiels (Google Play, App Store) ;
• Applications tierces détournées, clones malveillants de TikTok, faux stores de crypto, casinos, jeux pour adultes diffusés hors stores officiels.

Deux applications malveillantes identifiées et supprimées :

• 币coin (via l’App Store d’Apple) ;
• SOEX (messagerie + échange crypto) sur Google Play, téléchargée plus de 10 000 fois avant d’être retirée.

Fonctionnement technique

Sur iOS :

• Intégré à des frameworks factices (AFNetworking.framework, libswiftDarwin.dylib) via profils de provisionnement « enterprise ».
• Exécution automatique du code à chaque lancement via la méthode Objective‑C +load.
• Demande d’accès à la galerie, surveillance en temps réel des nouvelles images, puis exfiltration discrètex.

Sur Android :

• Intégré via du code Java/Kotlin ou des modules Xposed/LSPosed.
• Activation au lancement de l’app ou lors d’actions spécifiques. Téléchargement d’un fichier de configuration depuis un serveur C2, décrypté en AES‑256 (mode ECB).
• Exfiltration des images, des métadonnées et identifiants. Certaines variantes utilisent Google ML Kit OCR pour ne cibler que les images contenant du texte (ex. phrases de récupération).

Impact potentiel

Outre le vol de phrases de récupération de portefeuilles crypto, d’autres images sensibles (photos privées, documents) pourraient être exploitées à des fins de chantage ou d’autres formes de fraudex.

Conseils de sécurité

1. Méfiez-vous des applications : surveillez les faux avis, auteurs inconnus, peu de téléchargements mais notes excellentes.
2. Attention aux permissions : refusez l’accès à la galerie ou au stockage si l’app ne présente pas de besoin légitime (ex. photo, documents).
3. Sur iOS : n’acceptez que les profils de configuration ou certificats officiels.
4. Sur Android : activez Google Play Protect et effectuez des analyses régulières.
5. Sécurisez vos phrases de récupération : ne les photographiez jamais ni ne les stockez sur un smartphone. Préférez les supports hors ligne (papier, coffre, stockage chiffré).

Réponse de Google et d’Apple

Selon Google, l’application SOEX a été supprimée et le développeur banni ; tous les utilisateurs de Google Play bénéficient automatiquement d’une protection via Play Protect.

Leçons à retenir

• Les stores officiels ne garantissent pas une sécurité absolue ; le malware peut passer à travers.
• Le ciblage des expressions de récupération crypto représente une menace concrète pour les détenteurs de cryptos.
• Le bon sens, la vigilance sur les permissions et un stockage hors ligne demeurent les meilleures protections.

En résumé

Le malware SparkKitty démontre que les attaques mobiles évoluent et ciblent désormais les phrases de récupération, type de données ultra-sensibles dans l’univers crypto. Il réaffirme que :

• La prudence lors de l’installation d’applications est essentielle ; analysez avis, éditeur, permissions.
• Ne jamais stocker ses phrases de récupération numériquement.
• Activer les protections natives (Play Protect, profils sécurisés sur iOS) et réaliser des scans réguliers.

Protégez vos cryptos comme vos données : la vigilance reste la meilleure défense.

Source : Bleeping Computer - Malware on Google Play, Apple App Store stole your photos—and crypto.

Lire la suite

La fuite de données à 16 milliards d'identifiants. Vraiment ?

La presse s'est empressée de relayer le 20 juin 2025, une information de CyberNews selon laquelle une fuite de données contenant 16 milliards d'identifiants aurait eu lieu ces derniers jours.

Or il n'en est rien. Comme le précise la CNIL sur son site, il s'agit d'une base de données qui comporte 16 milliards d'identifiants, mise en ligne sur le darknet. En revanche, il ne s'agit pas d'une nouvelle fuite de données ou d'une fuite de données récente comme pourrait le laisser entendre la formulation des media mainstreem. Il s'agit en fait du cumul de dizaines voir de centaines de fuites de données de ces dix dernières années qui ont été rassemblées en une seule base. Donc rien de nouveau sous le soleil.

Comme le rappelle la CNIL, cela n'empêche pas d'effectuer une piqure de rappel au niveau de la sécurité des données : nécessité d'utiliser des mots de passe forts et de les changer régulièrement. Sans pour autant surfer sur la vague marketing de la peur pour vendre du clic.

Source : Communiqué de la CNIL - Exposition de 16 milliards d’identifiants et des mots de passe – que faire ?

Lire la suite