Un nouveau malware nommé Konfety sème la pagaille dans l’écosystème Android en exploitant des techniques d’obfuscation inédites. Contrairement aux menaces classiques, cette variante agit dans l’ombre, promet des fonctions attrayantes puis se livre à des pratiques malveillantes sans que l’utilisateur s’en aperçoive. Pire encore, Konfety déjoue les outils d’analyse les plus répandus, grâce à des astuces de compression et de chiffrement qui le rendent pratiquement invisible.
L’approche « evil twin » pour tromper l’utilisateur
Konfety se dissimule derrière l’identité de véritables applications légitimes, utilisant la technique dite de « evil twin ». En reproduisant scrupuleusement le nom et l’icône d’une app Android populaire, le malware parvient à convaincre l’utilisateur d’installer un APK contrefait. Cette fausse application, généralement distribuée sur des stores tiers, attire principalement les personnes cherchant des versions piratées ou gratuites d’applications payantes.
Une fois installée, l’icône disparaît pour éviter toute suppression impulsive, tandis que Konfety lance en arrière-plan :
- des publicités cachées (impression de pubs sans affichage visible) ;
- des notifications de navigateur frauduleuses invitant à visiter des sites douteux ;
- l’installation automatique d’autres APK malveillants ;
- la collecte silencieuse de données système et d’informations sensibles.
Une deuxième couche malveillante cachée dans un DEX chiffré
Le cœur de Konfety repose sur un fichier DEX supplémentaire, stocké dans l’APK principal et chiffré. Ce module n’apparaît pas dans l’analyse statique classique, car il est chargé dynamiquement par l’application au moment de l’exécution. Cette technique de « runtime loading » empêche les antivirus de détecter la menace avant le déploiement du code malveillant. Dans le manifeste Android, des services non recensés publiquement sont enregistrés, autorisant le téléchargement ultérieur de nouveaux composants.
Géofencing et dissimulation adaptative
Pour échapper à la surveillance, Konfety utilise une forme rudimentaire de géofencing. En fonction de la région géographique de l’appareil, le malware ajuste son comportement :
- en zone à risque (pays occidentaux, France, Italie), il reste furtif, limitant les activités suspectes ;
- dans d’autres régions, il active la diffusion intensive de publicités et la fraude par clic ;
Cette dissimulation géographique complique l’évaluation du danger par des laboratoires de sécurité qui testeraient l’APK en dehors des zones ciblées.
La supercherie du General Purpose Bit Flag
Les analystes Android se basent souvent sur des outils tels que APKTool ou JADX pour explorer le contenu d’un APK, qui n’est en réalité qu’une archive ZIP. Konfety exploite une option du format ZIP, le « General Purpose Bit Flag », qui signale un chiffrement des fichiers. En utilisant ce drapeau sans véritable chiffrement, le malware force les outils à demander un mot de passe ou à rencontrer des erreurs de décompression. En parallèle, certains modules DEX sont compressés avec un algorithme peu supporté, comme BZIP avec l’identifiant 0x000C, ce qui provoque des crashs ou des blocages lors du parsing.
Une menace invisible, même pour Android
Ironiquement, Android lui-même ignore les indications de compression non prises en charge et exécute tout de même l’APK. Résultat : un code inexploré en amont, puis chargé à la volée, qui dépose de manière invisible ses routines malveillantes. L’utilisateur, quant à lui, ne constate aucun message d’erreur lors de l’installation, ni d’alerte antivirus si son application de sécurité ne se base que sur l’analyse statique.
Les capacités de collecte de données
Au-delà de la fraude publicitaire, Konfety se livre à un pillage d’informations :
- liste des applications installées et leurs versions,
- paramètres de réseau (liste des SSID Wi-Fi, configuration IP),
- informations système (modèle d’appareil, numéro de build, niveau d’API),
Ces données sont transmises à un serveur de commande et contrôle, offrant aux attaquants un profil détaillé de l’appareil infecté et des pistes pour de futures attaques plus ciblées.
Comment se protéger efficacement ?
Face à ces nouvelles stratégies, la vigilance reste la première ligne de défense :
- Téléchargez uniquement depuis le Google Play Store ou des boutiques officielles de constructeurs reconnus ;
- Vérifiez l’éditeur de l’application et les avis récents avant chaque installation ;
- Désactivez l’installation d’APK de sources inconnues dans les paramètres de sécurité Android ;
- Activez la vérification des applications Play Protect et gardez vos logiciels de sécurité à jour ;
- Évitez les offres trop alléchantes ou les versions « gratuits » d’apps premium sur des sites tiers.
Si vous avez déjà installé une app suspecte, supprimez-la immédiatement et exécutez un scan approfondi avec un antivirus Android réputé. En cas de doute, réinitialisez l’appareil en mode usine après avoir sauvegardé vos données personnelles.