Logiciel malveillant mobile Konfety
Des chercheurs en cybersécurité ont découvert une variante avancée du célèbre malware Android, Konfety, qui exploite désormais la technique du jumeau maléfique pour commettre des fraudes publicitaires à grande échelle. Cette méthode souligne la complexité croissante des menaces ciblant les écosystèmes mobiles.
Table des matières
La stratégie du jumeau maléfique expliquée
La nouvelle approche consiste à créer deux versions d'une application partageant le même nom de package. L'une est une application légitime et inoffensive, souvent disponible sur le Google Play Store, tandis que son homologue malveillant, le « jumeau maléfique », est distribué via des sources tierces. Il est important de noter que l'application leurre ne doit pas nécessairement provenir des attaquants eux-mêmes ; dans de nombreux cas, il s'agit d'une application authentique déjà présente sur le Play Store. La seule exigence est que la version malveillante utilise le même nom de package, ce qui permet de dissimuler sa présence.
Adaptabilité et techniques avancées
Les acteurs derrière Konfety ont fait preuve d'une adaptabilité remarquable, modifiant fréquemment les réseaux publicitaires ciblés et perfectionnant leurs techniques pour échapper à la détection. La dernière variante va plus loin en altérant la structure ZIP de l'APK. Grâce à des APK malformés, les attaquants contournent les contrôles de sécurité et compliquent les efforts de rétro-ingénierie. Ils chargent dynamiquement la charge utile principale de Dalvik Executable (DEX) lors de l'exécution, tout en activant simultanément un indicateur ZIP spécifique qui induit le système en erreur en lui faisant croire que le fichier est chiffré. Cela crée une fausse invite de mot de passe lors de l'inspection, empêchant ainsi les analystes d'accéder au contenu.
Astuces de compression et perturbation de l’analyse
Dans un autre registre d'obfuscation, Konfety prétend faussement utiliser la méthode de compression BZIP dans le fichier AndroidManifest.xml. Cette fausse déclaration peut entraîner des échecs d'analyse, le blocage de certains outils d'analyse et le blocage des analyses forensiques. Une évasion similaire basée sur la compression a déjà été observée dans le malware SoumniBot, ce qui suggère qu'il s'agit d'une tendance émergente dans le développement de malwares Android.
Furtivité grâce au chargement dynamique du code
Le chargement dynamique du code joue un rôle essentiel dans la furtivité de Konfety. Le malware déchiffre et charge sa charge utile DEX directement en mémoire lors de son exécution, évitant ainsi les contrôles de sécurité habituels lors de l'installation de l'application ou de l'analyse statique. Associée à des ressources chiffrées et à des entrées manifestes trompeuses, cette stratégie d'obfuscation multicouche rend Konfety particulièrement résistant à la détection et à la rétro-ingénierie.
Capacités malveillantes et géorepérage
Comme ses versions précédentes, Konfety intègre le SDK CaramelAds pour récupérer des publicités, diffuser des charges utiles supplémentaires et maintenir la communication avec les serveurs contrôlés par les attaquants. Au-delà de la fraude publicitaire, il peut rediriger les utilisateurs vers des sites web malveillants, lancer des installations d'applications indésirables et envoyer des notifications persistantes, de type spam, au navigateur. Pour plus de discrétion, Konfety masque l'icône de son application et utilise des techniques de géorepérage pour adapter son comportement en fonction de la localisation de la victime.
Résumé
L'évolution de Konfety reflète une nette escalade de la sophistication des malwares mobiles. Sa combinaison de falsification avancée des APK, d'injection de code dynamique et de configurations trompeuses témoigne de l'innovation continue des acteurs malveillants cherchant à contourner les contrôles de sécurité et à maintenir leur présence sur les appareils infectés.
