Konfety 是一种新型安卓恶意软件，它通过多种混淆手段逃避检测，并实施广告欺诈等恶意行为。

Konfety 自称是合法应用，模仿谷歌 Play 上的无害产品，但实际上没有任何承诺的功能。它利用 CaramelAds SDK 获取并呈现隐藏广告，还会泄露用户安装的应用程序、网络配置和系统信息等。该恶意软件在 APK 中包含一个加密的二级 DEX 文件，运行时解密加载，其中包含隐藏服务，可动态安装额外模块，实现更危险的功能。

Konfety 采用了多种逃避策略。它通过复制谷歌 Play 上合法应用的名称和品牌，通过第三方商店分发，这种 “诱饵双胞胎” 策略诱骗用户安装。动态代码加载也是其混淆手段之一，恶意逻辑隐藏在运行时加载的加密 DEX 文件中。此外，它还操纵 APK 文件，将通用位标志设置为 “0 位”，表示文件已加密，触发错误密码提示，阻止或延迟对 APK 内容的访问。APK 中的关键文件使用 BZIP 压缩（0x000C），而 APKTool 和 JADX 等分析工具不支持这种压缩，导致解析失败。不过，Android 系统会忽略声明的方法，退回到默认处理，使恶意应用能正常安装和运行。安装后，Konfety 会隐藏应用程序图标和名称，并使用地理围栏根据受害者所在地区改变行为。

卡巴斯基在 2024 年 4 月关于 SoumniBot 恶意软件的报告中也提到，过去的 Android 恶意软件中也存在基于压缩的混淆手段。为了防范此类恶意软件，通常建议用户避免安装第三方 Android 应用商店的 APK 文件，只信任已知发行商的软件。