Technologies
Zimperium, acteur mondial de la cybersécurité mobile, a récemment identifié une version particulièrement sophistiquée du malware Konfety, ciblant exclusivement les utilisateurs Android. Détectée par les experts de son équipe zLabs, cette variante introduit des techniques de dissimulation inédites au sein des fichiers APK, rendant son identification extrêmement complexe pour les outils de sécurité classiques.
Le nouveau Konfety repose sur une approche astucieuse dite de double application : le même nom est utilisé pour une application légitime sur le Google Play Store et pour une version malveillante distribuée via des canaux alternatifs. Cette duplication vise à semer la confusion chez les utilisateurs et à contourner les barrières de sécurité traditionnelles.
Pour éviter les analyses automatisées, les cybercriminels ont modifié la structure ZIP des APK, recourant à des formats de compression non standards et à la manipulation d’en-têtes pour piéger les outils d’analyse. Résultat : de nombreux scanners interprètent ces fichiers comme corrompus ou inaccessibles, contournant ainsi les défenses les plus répandues.
Selon Nico Chiaraviglio, Chief Scientist chez Zimperium :
« Ce n’est pas une simple réédition du malware. C’est une version soigneusement repensée, conçue pour déjouer les experts en cybersécurité et échapper aux outils automatisés. »
Parmi les techniques utilisées :
- Chargement dynamique du code : le code malveillant est injecté uniquement au moment de l'exécution, échappant aux analyses statiques classiques.
- Camouflage applicatif : suppression de l’icône, usurpation de métadonnées et redirections vers des systèmes publicitaires frauduleux.
- Obfuscation ZIP poussée : des manipulations qui rendent l’APK indéchiffrable pour les outils de rétro-ingénierie courants.
L’analyse de Zimperium révèle également que Konfety intègre le SDK CaramelAds, qui sert de cheval de Troie pour introduire d’autres charges malveillantes. Ce mécanisme permet d’afficher des notifications indésirables dans le navigateur et de mener des actions frauduleuses ciblées.
La campagne adopte une approche géographiquement sélective, épargnant les utilisateurs européens tout en attaquant plus fortement d'autres régions. Cette segmentation démontre une maîtrise avancée des techniques de ciblage et d’évitement réglementaire.
En manipulant les structures internes des fichiers APK d’Android, Konfety perturbe délibérément les outils de rétro-ingénierie les plus performants, forçant les chercheurs à revoir leurs méthodes d’analyse.
Face à cette menace évolutive, les experts recommandent une vigilance accrue sur l’origine des applications téléchargées, une mise à jour régulière des solutions de sécurité mobile, et le recours à des outils capables d’analyser le comportement dynamique des apps.
La résurgence de Konfety souligne une réalité inquiétante : les malwares mobiles deviennent plus discrets, plus ciblés et plus résilients. Grâce à ses techniques d’obfuscation avancées et sa capacité à se camoufler derrière des applications crédibles, cette nouvelle version s’inscrit dans une nouvelle génération de cybermenaces mobiles, exigeant des réponses tout aussi évoluées.
La nouvelle montre connectée intelligente signée Nothing allie style, santé et IA
