L’article publié par PolySwarm met en lumière la réapparition du malware Android Konfety, connu pour ses capacités d’évasion sophistiquées telles que le chargement dynamique de code et l’obfuscation multi-couches. Ce malware est principalement utilisé pour des fraudes publicitaires tout en évitant la détection par les systèmes de sécurité.

Konfety utilise des techniques d’injection à l’exécution où le fichier DEX principal gère l’installation initiale avant de déléguer les opérations à un fichier DEX secondaire caché, déchiffré à partir d’actifs APK cryptés. Les incohérences dans le fichier AndroidManifest.xml servent d’indicateurs de détection, avec des composants non déclarés.

Le malware conserve des motifs historiques tels que les popups d’accord utilisateur et les motifs regex ‘@injseq’, tout en permettant une communication silencieuse avec le serveur, le rendu d’annonces en arrière-plan, et la livraison potentielle de charges utiles supplémentaires. Ces caractéristiques posent des risques financiers et de confidentialité pour les utilisateurs.

Konfety est lié aux campagnes précédentes du SDK CaramelAds, ce qui souligne une continuité dans les menaces posées par ce type de malware. L’article vise à informer sur les menaces et vulnérabilités posées par ce malware et à fournir des indicateurs de compromission (IOCs) pour aider à sa détection.

🧠 TTPs et IOCs détectés

TTPs

[‘Evasion: Dynamic Code Loading’, ‘Evasion: Obfuscated Files or Information’, ‘Execution: Command and Scripting Interpreter: Android Dalvik’, ‘Defense Evasion: Masquerading: Match Legitimate Name or Location’, ‘Defense Evasion: Deobfuscate/Decode Files or Information’, ‘Command and Control: Application Layer Protocol’, ‘Impact: Resource Hijacking’]

IOCs

[‘Inconsistencies in AndroidManifest.xml’, ‘Undeclared components in AndroidManifest.xml’, “Regex pattern ‘@injseq’”, ‘Historical patterns such as user agreement popups’]


🔗 Source originale : https://blog.polyswarm.io/konfety-android-malware

🖴 Archive : https://web.archive.org/web/20250728201640/https://blog.polyswarm.io/konfety-android-malware