Zimperium-Warnung vor Konfety-Malware: Angriffe auf Android-Mobilgeräte mittels neuer Variante

Zimperium-Sicherheitsexperten haben eine neue Variante der „Konfety“-Malware aufgedeckt, welche sich der Entdeckung auf „Android“-Endgeräten raffiniert entzieht

[datensicherheit.de, 15.07.2025] Sicherheitsexperten für Echtzeitschutz auf Mobilgeräten haben eine neue Variante der „Konfety“-Malware aufgedeckt, welche sich demnach einer Entdeckung auf „Android“-Endgeräten raffiniert entzieht: Zimperium warnt in einer aktuellen Stellungnahme, dass diese neueste Version fortschrittliche Verschleierungs- und Umgehungstaktiken auf ZIP-Ebene nutze, wodurch die Schadsoftware deutlich schwieriger zu erkennen und analysieren sei als bisherige Varianten.

Zimperiums „zLabs“-Sicherheitsforscher: „Konfety“-Malware-Kampagne nutzt Dual-App-Strategie

Zimperiums „zLabs“-Sicherheitsforschern zufolge verfolgt diese „Konfety“-Malware-Kampagne eine Dual-App-Strategie: „Der Paketname wird sowohl für eine harmlose ,Play Store’-App als auch für eine bösartige Version verwendet, die über Drittanbieterquellen verbreitet wird. Auf diese Weise sollen Benutzer getäuscht und herkömmliche Erkennungsmethoden umgangen werden.“

Darüber hinaus entziehe sich das Schadprogramm der Analyse durch Sicherheitstools, „indem die Struktur des APK-Installationspakets manipuliert, nicht unterstützte Komprimierungsformate benannt und ZIP-Header manipuliert werden“.

„Konfety“ Paradebeispiel dafür, wie Bedrohungsakteure ihre Taktiken aktiv verändern

„Es handelt sich hier nicht um eine Wiederholung von Bedrohungsmechanismen – wir sehen ein professionell gestaltetes Update, um Sicherheitsanalysten austricksen und automatisierten Security-Tools ausweichen zu können“, erläutert Nico Chiaraviglio, „Chief Scientist“ bei Zimperium. „,Konfety’ ist ein Paradebeispiel dafür, wie Bedrohungsakteure ihre Taktiken aktiv verändern und mobile Schadprogramme weiterentwickeln“, so Chiaraviglio.

Raffinierte Verschleierungsmechanismen:

• Dynamisches Code-Loading
  Bösartiger Code werde entschlüsselt und erst zur Laufzeit ausgeführt, um sich vor herkömmlichen Scans verbergen zu können.
• Fake-App-Verhalten
  Die Malware unterdrücke ihr App-Symbol, ahme legitime App-Metadaten nach und leite Benutzer durch die Infrastruktur für Anzeigenbetrug um.
• Verschleierung auf ZIP-Ebene
  Integrierte Techniken bewirkten, dass gängige Analysetools abstürzten oder die APK-Datei fälschlicherweise als passwortgeschützt bzw. falsch formatiert eingestuft würden.

Zimperium-Analyse: „Konfety“-Entwickler mit hohem Maß an Raffinesse

Die Zimperium-Analyse habe ergeben, dass „Konfety“ das „CaramelAds SDK“ nutze, um heimlich Nutzdaten übertragen, dauerhafte Spam-Browser-Benachrichtigungen verbreiten und Betrug erleichtern zu können. Diese Kampagne setze regionsspezifische Verhaltensweisen ein, um europäische Nutzer aggressiv auf verdächtige Webseiten umzuleiten.

„Konfety“ manipuliere die APK-ZIP-Struktur von „Android“ auf eine Weise, welche beliebte Reverse-Engineering-Tools abstürzen lasse. Damit setzten die Entwickler ein neues Maß an Raffinesse bei Umgehungstaktiken mobiler Malware um.

Weitere Informationen zum Thema:

ZIMPERIUM
Konfety Returns: Classic Mobile Threat with New Evasion Techniques

ZIMPERIUM
The World Leader in Mobile Device & Application Security / New: 2025 Global Mobile Threat Report

ZIMPERIUM
Zimperium Blog

The Hacker News, Ravie Lakshmanan, 16.07.2024
‚Konfety‘ Ad Fraud Uses 250+ Google Play Decoy Apps to Hide Malicious Twins

datensicherheit.de, 07.07.2025
Android-Smartphones: Bedrohungen nehmen sprunghaft zu / Sicherheitsforscher von Malwarebytes haben im ersten Halbjahr 2025 eine Zunahme von Malware für „Android“-Geräte um 151 Prozent festgestellt

datensicherheit.de, 04.01.2024]
McAfee-Warnung vor Xamalicious: Spionage-Gefahr auf Android-Mobiltelefonen / Falls Android-Nutzer potenziell gefährliche Apps bereits heruntergeladen haben, empfiehlt McAfee dringend, Sicherheitsmaßnahmen zu ergreifen

datensicherheit.de, 23.05.2023
Android-Malware ab Werk nach Kontrollverlust in der Lieferkette / Weltweit Millionen von Android-Smartphones mit bösartiger Firmware infiziert