Un malware Android se fait passer pour des applications légitimes et inonde les utilisateurs de publicités malveillantes

Un nouveau malware ciblant les utilisateurs Android se fait passer pour des applications légitimes afin de rediriger les victimes vers des sites dangereux et d’inonder leurs smartphones de messages indésirables, exposant ainsi leurs données personnelles à des risques accrus.

Un malware qui se fait passer pour des applis légitimes

Si la sécurité de l’écosystème Android inquiète parfois, l’arrivée d’une nouvelle version du malware Konfety ne va pas rassurer les utilisateurs. Particulièrement rusé, ce logiciel malveillant utilise désormais des fichiers APK modifiés pour contourner les protections classiques. Il ne s’agit ni d’un spyware traditionnel ni d’un cheval de Troie à distance. Plus insidieux, il emprunte le nom et le design d’applications populaires du Google Play Store, sans en reproduire la fonctionnalité réelle.

Ce stratagème, que certains chercheurs nomment tactique du « faux jumeau », s’observe principalement sur des boutiques tierces. Les victimes sont souvent tentées de télécharger des applications « gratuites » ou inaccessibles via les circuits officiels – soit parce que leur appareil ne supporte pas les services Google, soit pour économiser quelques euros.

Des techniques avancées pour échapper à l’analyse

Derrière une façade anodine, Konfety déploie un arsenal technique redoutable. Une fois installé sur le smartphone, il recourt à une structure ZIP anormale dans son APK afin de déjouer l’analyse automatisée et la détection par antivirus. Son exécution déclenche diverses actions malveillantes : redirection vers des sites dangereux, installation silencieuse d’autres applications indésirables ou encore génération de notifications frauduleuses via navigateur.

Le cœur de ses fonctionnalités illicites repose sur un fichier DEX chiffré embarqué dans l’APK : au lancement, ce fichier est décrypté pour activer des services cachés déclarés dans le manifeste Android – ouvrant la porte à l’installation de modules encore plus dangereux. Il faut ajouter à cela une capacité à masquer son icône et son nom dans la liste des applis installées ; mieux encore, le comportement du malware s’adapte selon la localisation géographique grâce à une fonction de geofencing.

Pour tromper davantage les outils d’analyse statique ou de rétro-ingénierie, certaines parties critiques du fichier APK sont compressées avec BZIP – un format peu pris en charge par les logiciels spécialisés – générant ainsi des erreurs lors du décodage.

Mieux vaut prévenir : gestes essentiels contre Konfety et autres menaces Android

Face à ces ruses sophistiquées, comment se protéger efficacement ? Quelques principes s’imposent :

• Télécharger uniquement depuis les magasins officiels comme le Google Play Store.
• Désactiver l’installation d’applis depuis des sources inconnues.
• S’assurer que Google Play Protect reste actif et à jour.

L’usage combiné d’un bon antivirus complète la panoplie défensive. En cas de doute sur une application trop prometteuse ou peu connue, mieux vaut passer son chemin : derrière une apparence anodine peut se cacher une menace bien réelle. Les cybercriminels peaufinent leurs méthodes ; seule la vigilance et quelques bons réflexes permettent aujourd’hui d’éviter le piège tendu par ce nouveau visage du malware mobile.