L’entreprise de cybersécurité Zimperium a annoncé, le 16 juillet, la réapparition de Konfeti, un logiciel malveillant ciblant spécifiquement les terminaux Android. Ce retour, loin d’être anodin, signe une escalade dans la sophistication des menaces mobiles, exploitant à la fois la crédulité des utilisateurs et les failles structurelles des systèmes de sécurité.
Android : le malware Konfeti fait son retour en toute discrétion
By
Published on 17 juillet 2025 16h00
Un nouveau visage pour une vieille menace, Konfeti redéfinit les codes de l'infiltration Android
Le malware Konfeti, déjà repéré à grande échelle en 2024, fait aujourd’hui son retour sur Android, avec une efficacité redoutable. L’attaque repose sur des applications truquées qui imitent à la perfection des logiciels réputés du Play Store. Zimperium, la société à l’origine de la découverte, précise, sur le site 01net, que le programme malveillant « copie le nom du package d’une application légitime, mais n’en reprend pas les fonctions ».
La campagne précédente avait déjà inondé le Play Store avec plus de 250 applications infectées. Aujourd’hui, les pirates optent pour une diffusion parallèle via des APK (Android Package Kit) proposés sur des boutiques tierces, hors du contrôle de Google. Cette stratégie de distribution fragmentée rend l’éradication du malware d’autant plus complexe.
Comment Konfeti s’infiltre et frappe les utilisateurs Android
Derrière sa façade anodine, Konfeti déclenche une série d’actions hostiles dès son installation. Le code malveillant, chiffré et dissimulé, n’est activé qu’au dernier moment. Il utilise le format de compression BZIP, rarement pris en charge par les antivirus, rendant son inspection quasi impossible pour les outils classiques. Les chercheurs notent que ce choix technique provoque notamment l’échec de logiciels d’analyse comme APKTool ou JADX. Une fois lancé, Konfeti agit en plusieurs temps : bombardement publicitaire, redirections forcées vers des sites douteux, récupération de données sensibles, installation silencieuse d’autres logiciels malveillants.
Ce comportement invasif est renforcé par une invisibilité quasi totale. L’application malveillante masque son icône et disparaît de la liste des applications. L’usager, souvent inconscient de l’infection, subit ses effets sans pouvoir identifier la source. Zimperium souligne sur 01net que « les auteurs de Konfeti sont très adaptables, ils changent souvent leurs réseaux publicitaires et leurs méthodes pour éviter d’être détectés ». Cette capacité d’adaptation s’illustre également par l’usage du GPS pour cibler ou épargner certaines zones géographiques, contournant ainsi les juridictions les plus rigoureuses.
Pourquoi le système de Google est devenu le terrain de jeu des cybercriminels
Si Android est régulièrement visé, c’est en raison de son modèle ouvert, facilitant la distribution d’applications en dehors du Play Store. Cette souplesse, perçue comme un avantage par les développeurs indépendants, devient un talon d’Achille lorsqu’elle est exploitée à des fins malveillantes. Le blog de Zimperium, publié le 16 juillet 2025, explique que les APK infectés sont souvent dotés d’un code DEX encrypté, déclenché uniquement dans des contextes précis pour échapper aux systèmes de sandboxing.
L’usage de chaînes d’hébergement temporaires, de régies publicitaires éphémères comme CaramelAds, et de modules à déclenchement géolocalisé témoigne d’une industrialisation du malware digne des opérations cybercriminelles les plus abouties. Selon BleepingComputer, cette offensive repose aussi sur une approche modulaire. L’attaque initiale n’est qu’un point d’entrée vers des installations ultérieures, toutes potentiellement plus destructrices. La nature adware de Konfeti n’est donc qu’un leurre. Il s’agit d’un cheval de Troie évolutif, capable d’adapter sa charge utile selon les cibles.