Nueva Variante del Malware Konfety en Android: ¿Cómo funciona?
Adriana Aguilar 07/15/2025 Ciberseguridad, Malware, Ciberataque
3 Minutos

Recientemente se descubrió una nueva variante del malware Konfety para Android, que utiliza archivos APK con una estructura ZIP malformada y técnicas de ofuscación bastante sofisticadas. ¿El objetivo? Pasar desapercibido ante los antivirus y herramientas de análisis de seguridad.

Este malware se disfraza de aplicaciones legítimas, copiando el aspecto de apps populares que podrías encontrar en Google Play. Sin embargo, una vez instalada, no hace nada de lo que promete.

En lugar de ofrecer las funciones anunciadas, Konfety redirige a los usuarios a sitios maliciosos, muestra notificaciones falsas del navegador y promueve la instalación de otras aplicaciones no deseadas. Además, en segundo plano, aprovecha el SDK de CaramelAds para recuperar y mostrar anuncios ocultos, todo sin que el usuario lo sepa.

Pero eso no es todo: también recolecta datos del dispositivo, como las apps que tienes instaladas, la configuración de red y detalles del sistema. Todo esto sin pedirte permiso.

 

anuncios

Anuncios no deseados y redireccionamientos activados por Konfety (Fuente: Zimperium)

 

Aunque Konfety no es un spyware ni un troyano de acceso remoto (RAT) como tal, sí viene con una trampa bien pensada. Dentro del archivo APK incluye un segundo archivo DEX encriptado que se desbloquea y ejecuta mientras la app está corriendo. Este archivo contiene servicios ocultos que ya están declarados en el AndroidManifest, pero que pasan desapercibidos al principio.

¿Y qué significa esto? Básicamente, deja abierta la posibilidad de instalar módulos adicionales en tiempo real, lo que permite que el malware se actualice por sí solo y se vuelva aún más peligroso con el tiempo. Esta técnica hace que una infección inicialmente "ligera" pueda escalar rápidamente con nuevas funciones maliciosas sin que el usuario lo note.

 

Podría interesarte leer: Malware Anatsa se infiltra en Google Play y Ataca Bancos en EE. UU.

 

¿Cómo evade la detección Konfety? Tácticas cada vez más sofisticadas

 

Los investigadores de Zimperium, una plataforma especializada en seguridad móvil, analizaron a fondo la última variante de Konfety y descubrieron que este malware utiliza múltiples técnicas avanzadas para ocultar su comportamiento real y eludir los mecanismos de detección.

 

Se hace pasar por apps legítimas

 

Konfety engaña a los usuarios haciéndose pasar por aplicaciones conocidas de Google Play. Copia el nombre, los íconos y hasta la estética de apps populares, y luego se distribuye a través de tiendas de aplicaciones de terceros. Esta táctica ha sido bautizada como un "gemelo malvado" o "gemelo señuelo".

El objetivo es simple: que el usuario baje la app sin sospechar nada. Este tipo de tiendas alternativas suelen atraer a personas que buscan versiones "gratuitas" de apps premium, que evitan los servicios de Google, o que usan dispositivos Android antiguos que ya no son compatibles con Google Play.

Konfety también emplea una técnica llamada carga dinámica de código, donde la parte maliciosa no está activa desde el principio. En su lugar, el código dañino se esconde dentro de un archivo DEX cifrado, que se descifra y ejecuta solo cuando la app ya está corriendo. Esto hace que sea mucho más difícil detectarlo mediante análisis estáticos o herramientas automatizadas.

 

Manipulación del APK para confundir a los analistas

 

Una de las tácticas más creativas de Konfety es cómo manipula el propio archivo APK para romper o confundir las herramientas de análisis. Aquí van dos ejemplos que los investigadores destacaron:

 

  1. Engaño con archivos cifrados: El archivo APK establece un "bit de propósito general" indicando que está cifrado… cuando en realidad no lo está. Esto provoca que algunas herramientas soliciten una contraseña falsa, dificultando o bloqueando el acceso al contenido real del archivo.

  2. Compresión con BZIP: También declara algunos archivos clave del APK usando el formato de compresión BZIP, que no es compatible con herramientas como APKTool o JADX. Como resultado, estas herramientas fallan al intentar descomponer la app para su análisis.

 

Curiosamente, aunque estas técnicas confunden a los analistas, Android no tiene problemas en ejecutar el APK. Cuando detecta un método de compresión no soportado, el sistema simplemente ignora la declaración y procesa el archivo de forma predeterminada, permitiendo que la app maliciosa funcione sin errores visibles.

 

tacticas de evasion

Las herramientas de análisis se bloquean al intentar analizar el APK malicioso

 

Una vez instalada, Konfety oculta su presencia eliminando su ícono y nombre del menú de apps. Además, utiliza técnicas de geofencing, lo que significa que adapta su comportamiento según la ubicación geográfica del usuario. Esto puede incluir activar funciones maliciosas solo en ciertas regiones, lo que también dificulta su detección global.

Esta estrategia de ofuscación basada en compresión ya se ha visto antes. En abril de 2024, Kaspersky documentó una táctica similar usada por el malware SoumniBot. En ese caso, los atacantes:

 

  1. Declaraban métodos de compresión inválidos en el archivo AndroidManifest.xml

  2. Manipulaban el tamaño de los archivos y usaban datos falsos

  3. Insertaban cadenas de espacio de nombres exageradamente grandes para confundir los analizadores

 

Todo esto con el mismo objetivo: hacer que el malware pase desapercibido el mayor tiempo posible.

 

Conoce más sobre: ¿Qué es el tiempo de permanencia en ciberseguridad?

 

Recomendaciones para proteger tu dispositivo

 

Teniendo en cuenta estas técnicas cada vez más complejas, te recomendamos lo siguiente:

 

  1. Evita descargar APKs desde tiendas no oficiales: La mayoría de las infecciones por Konfety provienen de estas fuentes.

  2. Descarga apps solo de desarrolladores verificados: Asegúrate de que la app provenga de una fuente confiable y revisa los comentarios de otros usuarios.

  3. Mantén tu sistema operativo y tus apps siempre actualizados: Las actualizaciones suelen corregir vulnerabilidades que los malwares aprovechan.

  4. Instala una solución de seguridad móvil confiable: Aunque no todas pueden detectar malware como Konfety, las más avanzadas actualizan sus bases constantemente y ofrecen capas extra de protección.

 

Actúa ahora, protege todos tus dispositivos

Tag:

Ciberseguridad Malware Ciberataque

Policía Desmantela Banda de Ransomware DiskStation

Artículo Anterior
  • No hay sugerencias porque el campo de búsqueda está vacío.

Categorías

Artículos más leídos

Gustavo Sánchez 05/23/2023 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje
Descubriendo los canales en Telegram de la Dark Web
Alexander Chapellin 02/26/2025 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje, Malware, Ciberataque
10 Principales Grupos y Canales de Telegram en la Dark Web
Gustavo Sánchez 04/01/2024 Microsoft Office 365, Microsoft, CoPilot
Guía para Activar y Usar Copilot en Word Eficazmente
Alexander Chapellin 03/27/2024 Ciberseguridad, Riesgos informaticos
Top 5 de Foros Rusos en la Dark Web

Artículos Relacionados

Malware, Ciberataque
Alexander Chapellin 07/14/2025

Ransomware Interlock Adopta el Método FileFix para Distribuir Malware

El grupo de ransomware Interlock está subiendo de nivel. Ahora están usando una nueva táctica

Leer más
Riesgos informaticos, Vulnerabilidades, IA, Ciberataque
Zoilijee Quero 07/14/2025

Vulnerabilidad en Google Gemini Expone a Usuarios a Ataque de Phishing

Google Gemini for Workspace tiene un problema serio: los atacantes pueden usarlo para crear

Leer más
Ciberseguridad, Pentesting, Ciberataque
Scarlet Mendoza 07/14/2025

Pentesting Web: ¿Cómo realizar un pentesting efectivo en tu sitio web?

Tener un sitio web hoy en día es como tener una tienda con la puerta abierta las 24 horas: siempre

Leer más