Konfety: la nuova minaccia Android che sfrutta APK manipolati per eludere i controlli

Negli ultimi mesi, la crescente sofisticazione degli attacchi informatici ha posto sotto i riflettori una nuova minaccia per l’ecosistema Android: sta circolando, infatti, una nuova potentissima versione di Konfety. Questo malware si sta rapidamente diffondendo, rappresentando un serio rischio per tutti coloro che installano applicazioni da store di terze parti e non prestano la dovuta attenzione ai segnali di pericolo. La sua diffusione e le tecniche di offuscamento adottate dimostrano come il panorama delle minacce digitali sia in costante evoluzione, richiedendo agli utenti una consapevolezza sempre maggiore.

Come funziona Konfety

A differenza di molte minacce tradizionali, Konfety si distingue per la sua capacità di mascherarsi perfettamente tra le app legittime. Gli autori del malware sfruttano la popolarità di applicazioni conosciute, replicandone nome e icona per ingannare l’utente e indurlo a scaricare software dannoso. Tuttavia, dietro questa facciata si cela un’architettura estremamente complessa, che consente al malware di sfuggire ai controlli e ai sistemi di sicurezza comunemente implementati su Android.

Il meccanismo di infezione si basa principalmente su APK manipolati, ovvero pacchetti di installazione modificati in modo da includere codice malevolo nascosto. Una volta installato, Konfety non offre nessuna delle funzionalità promesse, ma si attiva in background con una serie di azioni dannose. Tra queste, il reindirizzamento dell’utente verso siti web malevoli, la promozione di ulteriori applicazioni indesiderate e l’invio di notifiche ingannevoli, spesso difficili da distinguere da quelle legittime.

Un aspetto particolarmente insidioso del malware è l’integrazione del CaramelAds SDK, che consente la visualizzazione di pubblicità nascoste e invasive. Questa componente non solo infastidisce l’utente, ma rappresenta anche una potenziale fonte di guadagno illecito per gli sviluppatori del malware, sfruttando il traffico generato in modo fraudolento. Parallelamente, Konfety raccoglie informazioni sensibili sul dispositivo infetto, alimentando così un mercato nero di dati personali.

Ciò che rende questa minaccia ancora più difficile da individuare è la presenza di tecniche di dynamic code loading. All’interno dell’APK, infatti, si trova un file DEX secondario cifrato che viene decrittato solo durante l’esecuzione dell’applicazione. Questo approccio permette di nascondere efficacemente servizi malevoli dichiarati nel manifesto dell’app e di installare dinamicamente ulteriori componenti dannosi, eludendo così le analisi statiche tradizionali.

Le strategie di evasione adottate da Konfety sono tra le più avanzate mai osservate nel settore. Il malware manipola i file di installazione impostando flag specifici che simulano la cifratura del file, induce richieste di password inesistenti e dichiara file critici con metodi di compressione non supportati dai principali strumenti di reverse engineering, come APKTool e JADX. In questo modo, anche gli analisti più esperti incontrano notevoli difficoltà nell’isolare e studiare il codice dannoso.

Nonostante tutte queste manipolazioni, il sistema operativo Android procede regolarmente all’installazione dell’app, consentendo a Konfety di operare indisturbato. Una volta insediato sul dispositivo, il malware adotta tecniche di geofencing per adattare il proprio comportamento in base alla posizione geografica della vittima. Questo significa che le attività fraudolente vengono ottimizzate in funzione dell’area in cui si trova l’utente, aumentando così l’efficacia dell’attacco e riducendo la probabilità di essere scoperti.

Non è la prima volta che si osservano tecniche così sofisticate nel panorama dei malware Android. Ad aprile 2024, ad esempio, la società di sicurezza Kaspersky ha segnalato un caso simile con il malware SoumniBot, anch’esso caratterizzato da strategie di offuscamento e manipolazione degli APK per sfuggire ai controlli di sicurezza.

Come difendersi da Konfety

La distribuzione di Konfety avviene prevalentemente attraverso store di terze parti, canali spesso frequentati da utenti alla ricerca di versioni gratuite di app a pagamento o che utilizzano dispositivi non più supportati ufficialmente da Google. Questi store, non sottoposti ai rigorosi controlli di sicurezza del Play Store, rappresentano un terreno fertile per la diffusione di malware e altre minacce informatiche.

Per difendersi da queste insidie, gli esperti consigliano di scaricare applicazioni esclusivamente da fonti affidabili come Google Play Store, mantenere sempre aggiornato il sistema operativo e prestare attenzione ai permessi richiesti durante l’installazione delle app.