Sécurité Android : Malware indétectable derrière de fausses applications

Techniques de contournement

Konfety fait appel à une stratégie trompeuse connue sous le nom de « double application ». Cette méthode consiste à utiliser le même nom pour une application légitime disponible sur le Play Store et pour une version corrompue distribuée par des sources non officielles. L’objectif est de duper les utilisateurs et de contourner les systèmes de détection traditionnels.

Pour échapper aux analyses, le malware modifie la structure de l’APK tout en déclarant des formats de compression non standards et en manipulant les en-têtes ZIP, ce qui déroute les outils de sécurité.

Caractéristiques du malware

Parmi les tactiques déployées par Konfety, plusieurs sont particulièrement inquiétantes :

• Chargement dynamique de code : Le code malveillant est décrypté et exécuté uniquement au moment de l’exécution, évitant ainsi les analyses statiques.
• Comportement d’application factice : Le malware supprime son icône, imitant les métadonnées d’une application légitime et redirigeant les utilisateurs vers une infrastructure de fraude publicitaire.
• Obfuscation au niveau ZIP : Ces techniques causent des problèmes pour les outils d’analyse, les faisant interpréter l’APK comme corrompu ou protégé par mot de passe.

Impact et ciblage

Selon l’analyse de Zimperium, le malware Konfety utilise le SDK CaramelAds pour déployer discrètement des charges malveillantes et envoyer des notifications de type spam. En outre, la campagne adapte son comportement en fonction des régions, excluant les utilisateurs européens des sites suspects grâce à la géolocalisation tout en ciblant plus agressivement d’autres populations.

Konkefy illustre un niveau de sophistication inédit dans les tactiques d’évasion des malwares, manipulant la structure APK ZIP d’Android pour bloquer les outils de rétro-ingénierie les plus populaires.