Un nouveau variant du malware Konfety s’attaque aux appareils Android avec une sophistication accrue. Mise au jour par Zimperium, la menace mobile, déjà connue pour ses activités de fraude publicitaire, a évolué pour intégrer des techniques d’évasion avancées qui la rendent particulièrement difficile à détecter et à analyser.
Un jumeau maléfique sur les stores alternatifs
La stratégie principale de Konfety repose sur une tactique qualifiée de « jumeau maléfique ». Les créateurs du nuisible copient le nom et l’identité visuelle d’applications légitimes disponibles sur le Google Play Store.
La distribution de la version piégée s’opère sur des boutiques d’applications tierces, là où des utilisateurs cherchent parfois des alternatives ou des versions gratuites d’applications payantes.
Une fois installée, l’application malveillante ne propose aucune des fonctionnalités promises. Elle s’invisibilise avec une icône et un nom qui disparaissent de l’appareil, rendant sa désinstallation manuelle compliquée.
La ruse du fichier d’installation corrompu
La véritable nouveauté de cette version de Konfety est sa capacité à déjouer les outils d’analyse. Pour cela, elle manipule la structure même de son fichier d’installation (APK).
« Ce malware échappe à l’analyse en modifiant la structure de l’APK, en déclarant des formats de compression non standards et en manipulant les en-têtes ZIP pour dérouter les outils de sécurité », écrit Zimperium.
« Konfety manipule la structure APK ZIP d’Android de manière à provoquer le blocage complet des outils de rétro-ingénierie les plus populaires, illustrant ainsi un niveau inédit de sophistication dans les tactiques d’évasion des malwares mobiles. »
Le système d’exploitation Android ignore ces anomalies et installe l’application. Le malware passe ainsi sous les radars de la sécurité mobile, tout en s’exécutant parfaitement sur l’appareil de la victime.
Le vrai visage du malware
À l’intérieur de l’APK se cache une charge utile chiffrée. Ce n’est qu’au moment de l’exécution que l’application la déchiffre et la charge en mémoire pour lancer ses activités malveillantes. Celles-ci sont orchestrées via le kit de développement CaramelAds, une infrastructure publicitaire détournée pour servir les intérêts des attaquants.
Le résultat pour l’utilisateur est une série de nuisances : redirection du navigateur vers des sites web dangereux, incitation à installer d’autres applications indésirables et déferlante de notifications publicitaires persistantes et frauduleuses. Le malware en profite également pour collecter des informations sur le système et les applications installées.
Zimperium publie des indicateurs de compromission sur le retour du malware Konfety dans un billet de blog et sur GitHub.