Konfeti est de retour à l’assaut des smartphones Android. Plus sournois et vicieux que l’an dernier, il se cache dans des applications factices qui imitent des applis légitimes du Play Store. Une fois installé, le virus bombarde l’utilisateur de pubs, redirige vers des sites malveillants, vole des données et installe d’autres malwares sur le téléphone.
L’été dernier, le Play Store a été envahi par 250 applications malveillantes cachant un malware intitulé Konfeti. Le logiciel malveillant avait pour but de bombarder les utilisateurs de bannières publicitaires intempestives, tout en générant des revenus frauduleux. Les applications reposaient en effet sur de la fraude publicitaire à grande échelle.
Un an plus tard, Konfeti est de retour. Identifié par les chercheurs de Zimperium, le virus fait un retour en force sous une nouvelle forme. Comme l’an dernier, le malware se cache dans des applications en apparence inoffensives. Une fois installées, elles ne fonctionnent pas comme prévu, et n’offrent pas les fonctionnalités attendues.
Cette fois, les pirates ont glissé Konfeti dans des fichiers APK échangés sur la toile, notamment dans des boutiques d’apps tierces. Sans surprise, les cybercriminels ont usurpé l’identité d’applications réputées et connues, qui sont disponibles sur le Play Store. Le logiciel malveillant « copie le nom du package d’une application légitime, mais n’en reprend pas les fonctions », indique Zimperium.
À lire aussi : Nouvelle menace sur Android – comment une interface invisible peut vous pousser à valider n’importe quoi
Sites malveillants, pubs agaçantes, et vol de données
Déployé sur le smartphone, le virus redirige l’utilisateur vers des sites malveillants, force l’installation d’applications indésirables, affiche de fausses notifications piégées, affiche des pubs en arrière-plan, et vole des informations sur les applications, le réseau et le système. Enfin, Konfeti peut aussi installer d’autres modules malveillants à distance. C’est potentiellement une catastrophe pour vos données personnelles, tout comme pour l’argent stocké sur votre compte bancaire.
Pour passer inaperçu, Konfeti dispose d’une série de tactiques d’évasion. Afin d’échapper aux antivirus et aux mécanismes de sécurité de Google, Konfeti charge le code malveillant au tout dernier moment. Il est chiffré et reste invisible jusqu’à ce qu’il soit déchiffré et lancé pendant l’exécution de l’application. Par ailleurs, le virus utilise un format de compression peu courant, le BZIP.
La plupart des outils d’analyse ne savent pas lire ce format, ce qui ralentit ou bloque l’inspection par les antivirus. En combinant ces astuces, Konfeti fait planter des logiciels utilisés par les chercheurs en sécurité, comme APKTool ou JADX. Cette « actique vise à contourner les contrôles de sécurité et à compliquer l’analyse technique, rendant la détection et l’étude du malware beaucoup plus difficiles pour les experts en sécurité ».
À lire aussi : Cyberattaques contre Android – le nombre de virus est en train d’exploser
Un virus discret et astucieux
Surtout, l’application malveillante est capable de se cacher des yeux de l’utilisateur. Une fois installée, elle va masquer son icône pour ne pas apparaître sur l’écran d’accueil. L’application n’apparait pas non plus dans la liste des applis. Du point de vue de l’usager, il est difficile de déceler la présence de l’app qui affiche des publicités intrusives sur leur smartphone. Enfin, l’application agit différemment en fonction de la position géographique de sa victime. Avec l’accès au GPS, les pirates peuvent cibler leurs victimes, et éviter de fonctionner dans les régions dans lesquels les autorités sont les plus regardantes.
Comme l’explique Zimperium, « les auteurs de Konfeti sont très adaptables, ils changent souvent leurs réseaux publicitaires et leurs méthodes pour éviter d’être détectés ». Pour éviter de tomber dans les griffes de Konfeti, on vous recommande d’éviter les magasins d’applications tiers. Contentez-vous des applications sur le Play Store qui sont publiées par des éditeurs réputés. Avant d’installer une app, prenez le temps de consulter les commentaires et les avis.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Zimperium