Un nouveau malware Android s'avère particulièrement insidieux. Il s'appelle Konfety , et ses stratégies anti-détection sont si sophistiquées qu'elles font planter même les outils utilisés par les analystes en sécurité. Et tandis qu'il trompe les utilisateurs en promettant des fonctionnalités inexistantes, Konfety s'insinue dans les systèmes via des APK astucieusement modifiés , démontrant comment le danger peut se cacher même là où on s'y attend le moins. Konfety se présente comme une fausse application Android , imitant fidèlement le nom et l'icône d'applications légitimes du Play Store . Cette approche, appelée « jumeau maléfique », permet au malware de tromper facilement les utilisateurs recherchant des versions gratuites d'applications payantes ou des applications pour des appareils non compatibles avec les services Google. Une fois installée, l'application n'offre évidemment pas les fonctions attendues, mais utilise au contraire des publicités cachées (c'est-à-dire que l'utilisateur ne voit pas, mais qui sont là), génère des notifications de navigateur trompeuses , installe des applications indésirables et redirige l'utilisateur vers des sites suspects . Mais ce n'est pas tout. Konfety collecte également des informations sensibles telles que la liste des applications installées, les configurations réseau et d'autres données système.

Le cœur du comportement malveillant réside dans un second fichier DEX chiffré , caché dans l'APK et chargé uniquement pendant l'exécution . Ce fichier contient des services non déclarés visiblement, mais enregistrés dans le manifeste de l'application, permettant au malware de se mettre à jour et de télécharger de nouveaux modules potentiellement plus dangereux, même après l'installation. Pour compliquer les choses, après l'installation, Konfety masque son icône et utilise un système de géorepérage , modifiant son comportement en fonction de la zone géographique où se trouve l'appareil. Ceci constitue un obstacle supplémentaire à la détection automatique par les antivirus. L'une des techniques les plus ingénieuses de la dernière variante de Konfety consiste à modifier la structure ZIP de l'APK , en activant ce que l'on appelle le General Purpose Bit Flag : une option qui trompe les outils d'analyse en leur faisant croire que les fichiers sont cryptés, même s'ils ne le sont pas. Cette astuce provoque des invites de mot de passe erronées et des blocages dans l'analyse statique , ralentissant ou empêchant complètement les analystes de travailler.

En parallèle, certains fichiers critiques sont compressés avec des algorithmes non pris en charge par des outils populaires tels que APKTool ou JADX (par exemple BZIP avec l'identifiant 0x000C), provoquant des erreurs d'analyse et des plantages de l'outil . La présence d'un DEX chiffré chargeable à l'exécution représente un autre obstacle majeur : le code réellement malveillant n'est visible qu'une fois l'application exécutée, échappant ainsi aux analyses traditionnelles. De plus, le fait qu'Android ignore les compressions déclarées mais non prises en charge , tout en exécutant l'application, rend ces techniques encore plus efficaces. En bref, le conseil est toujours le même : évitez d’installer des APK provenant de sources tierces et fiez-vous uniquement au Play Store ou à d’autres magasins virtuels à la fiabilité éprouvée (comme ceux des principaux fabricants).