Toutes les actualités

Doctor Web : rapport viral du 1er trimestre 2026

Wed, 01 Apr 2026 01:00:00 GMT

le 1 avril 2026

Selon les statistiques de détection récoltées par Dr.Web Antivirus, le nombre total de menaces détectées lors du premier trimestre 2026 a augmenté de 6,77% par rapport au quatrième trimestre de l'année dernière. Le nombre de menaces uniques a diminué de 11,98%. Les logiciels malveillants les plus fréquemment détectés sur les appareils protégés étaient des logiciels publicitaires et des chevaux de Troie publicitaires, des téléchargeurs malveillants et des portes dérobées.

Les logiciels malveillants les plus fréquemment détectés dans le trafic de messagerie étaient des scripts malveillants, des portes dérobées et diverses applications de type cheval de Troie. Les attaquants ont également diffusé des documents d'hameçonnage et des exploits par e-mail.

Les utilisateurs dont les fichiers ont été affectés par des rançongiciels ont été les plus susceptibles de rencontrer des encodeurs Trojan.Encoder.35534, Trojan.Encoder.29750 et Trojan.Encoder.41868.

Au cours du premier trimestre 2026, les analystes Internet de Doctor Web ont identifié de nouveaux sites d'hameçonnage, notamment de fausses ressources d'établissements de crédit et de marketplaces, ainsi qu'un certain nombre d'autres sites indésirables.

Le secteur des appareils mobiles a connu une activité accrue des chevaux de Troie bancaires. Dans le même temps, nos analystes antivirus ont constaté une popularité croissante d'une méthode permettant de protéger les logiciels malveillants contre la détection par les logiciels antivirus, qui consiste à y ajouter du code inutile.

En janvier, les experts de Doctor Web ont signalé l'existence de Trojans de type clicker Android.Phantom, qui utilisent l'apprentissage automatique et les flux vidéo pour augmenter le nombre de clics sur les sites web. De plus, au cours des trois derniers mois, nous avons constaté l'apparition de nouveaux logiciels malveillants dans le catalogue Google Play, notamment des chevaux de Troie qui abonnent les utilisateurs à des services payants.

Tendances principales du 1er trimestre

Diminution du nombre de menaces détectées sur les appareils protégés.
Le nombre de fichiers uniques parmi les menaces détectées a diminué.
Par rapport à la période de surveillance précédente, moins de demandes de déchiffrement de fichiers affectés par des chevaux de Troie de type ransomware ont été enregistrées.
L'activité des chevaux de Troie bancaires pour appareils Android a continué de croître.
Des utilisateurs ont été menacés par des programmes malveillants Android.Phantom, qui utilisent notamment des technologies d'apprentissage automatique pour manipuler les clics sur les sites web.
De nouvelles applications malveillantes ont été détectées sur Google Play.

Données du service de statistiques de Doctor Web

Les menaces les plus répandues au cours du 1er trimestre 2026 :

Trojan.Siggen31.34463: Cheval de Troie écrit dans le langage de programmation Go et conçu pour charger divers miners et logiciels publicitaires dans le système cible. Le malware est un fichier DLL situé dans %appdata%\utorrent\lib.dll. Pour son lancement, il exploite une vulnérabilité de la classe DLL Search Order Hijacking dans le client torrent uTorrent.
Adware.Downware.20655
Adware.Downware.20766: Adware souvent utilisé comme outil intermédiaire de téléchargement de programmes pirates.
Trojan.BPlug.4268: Composant malveillant de l'extension de navigateur WinSafe. Ce composant est un script JavaScript qui affiche des publicités intrusives dans les navigateurs.
Adware.Siggen.33379: Faux bloqueur de publicités pour les navigateurs web Adblock Plus, qui est installé sur le système par d'autres applications malveillantes dans le but d'afficher des publicités.

Statistiques relatives aux programmes malveillants détectés dans le trafic e-mail

Les menaces les plus courantes dans le trafic de messagerie au premier trimestre 2026

JS.DownLoader.1225: Détection heuristique des archives ZIP contenant des scripts JavaScript aux noms suspects.
W97M.DownLoader.2938: Famille de Trojans Downloaders qui exploitent les vulnérabilités des documents créés dans MS Office. Ils sont conçus pour télécharger d'autres logiciels malveillants sur l'ordinateur attaqué.
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4: Exploits conçus pour exploiter des vulnérabilités dans le logiciel Microsoft Office et qui permettent l'exécution du code arbitraire.
JS.Redirector.514: Script malveillant qui redirige l'utilisateur vers une page Web contrôlée par les pirates.

Rançongiciels

Par rapport au quatrième trimestre 2025, le nombre de demandes pour le déchiffrement de fichiers touchés par des rançongiciels a diminué de 31,51% au 1er trimestre. Cette diminution s'est produite durant les fêtes du Nouvel An et du long week-end qui a suivi, période durant laquelle un certain nombre de cybercriminels ont pu suspendre leurs activités et partir en vacances. Cependant, les utilisateurs qui ont subi des attaques de ransomware durant cette période n'ont peut-être pas réagi immédiatement aux incidents.

Dynamique des demandes de décryptage reçues par le support technique de Doctor Web :

Les encodeurs les plus répandues au cours du 1er trimestre 2026 :

Trojan.Encoder.35534 — 15,59% des demandes
Trojan.Encoder.29750 — 3,23% des demandes
Trojan.Encoder.41868 — 3,23% des demandes
Trojan.Encoder.26996 — 1,62% des demandes
Trojan.Encoder.44383 — 1,61% des demandes

Fraude sur le Web

Au cours des trois derniers mois, les analystes Internet de Doctor Web ont identifié plusieurs nouveaux sites Web de marketplace contrefaits. Sur de tels sites, les escrocs proposent de participer à une prétendue « vente » de commandes non recupérées. L'arnaque fonctionne de la manière suivante : Les articles issus de commandes « non réclamés » sont triés en différentes catégories (électronique, vêtements, chaussures, cosmétiques, etc.) puis soi-disant regroupés dans des boîtes surprises correspondantes.
Leur contenu est inconnu et peut inclure, entre autres, des objets de valeur. Ces boîtes sont proposées à la vente à un prix relativement bas, ce qui constitue leur principal attrait.

Un faux site de vente en ligne promet une « vente » de commandes non réclamées qui proviendraient soi-disant d'entrepôts débordées.

Lorsqu'un utilisateur sélectionne l'une des boîtes, il lui est demandé de passer une commande et de fournir des informations personnelles, qui peuvent inclure ses nom et prénom, son numéro de téléphone portable et son adresse électronique. Il est ensuite redirigé vers la page de paiement via le service de paiement rapide. Par conséquent, la victime perd son argent et divulgue des informations confidentielles aux escrocs.

Après avoir passé la « commande », la victime est invitée à la régler via le système de paiement rapide.

Nos experts ont également identifié de nombreux sites web proposant divers services financiers, tels que la possibilité d'obtenir rapidement un microcrédit, un prêt ou une déclaration de faillite. Ces services ne fournissent pas eux-mêmes les prestations attendues par les utilisateurs et agissent uniquement en tant qu'intermédiaires entre les clients et les institutions financières. Ils offrent un accès payant à une sélection d'options potentiellement adaptées, tandis que le regroupement d'offres financières similaires est disponible gratuitement. De plus, ces services ne garantissent pas le résultat favorable de la demande. Par ailleurs, le paiement de l'accès n'est pas un paiement unique, mais un abonnement payant avec des prélèvements périodiques.

L'un des sites web où l'accès au service de sélection d'offres financières est payant et se fait sous forme d'abonnement.

Dans certains cas, ces ressources peuvent induire les utilisateurs en erreur en proposant un service, comme l'emploi, mais en offrant en réalité un accès par abonnement aux offres financières pour des prêts, des microcrédits, etc.

Le site web promet une aide à la recherche d'emploi, mais après avoir payé pour accéder au service, au lieu d'une offre d'emploi, il peut proposer des offres financières de partenaires sous forme de prêts, de microcrédits, etc.

Parmi les sites d'hameçonnage identifiés au premier trimestre figuraient de fausses ressources internet concernant la course sportive Marathon Vert. Ces sites proposent aux visiteurs de s'inscrire au marathon, mais ils ne sont pas affiliés à l'événement et sont conçus pour collecter les données confidentielles des utilisateurs.

Un des faux sites web pour la course du Marathon Vert

Les analystes internet de Doctor Web ont également identifié d'autres sites web de services d'investissement frauduleux, prétendument liés à divers établissements de crédit. Parmi eux figuraient des sites web ciblant des utilisateurs de Russie, du Kazakhstan et d'autres pays. Les escrocs promettent à leurs victimes potentielles des profits élevés et, pour « accéder » à des plateformes de pseudo-investissement, leur demandent de remplir un court questionnaire et de créer un compte en fournissant des informations personnelles.

Exemple de site d'hameçonnage que les pirates informatiques font passer pour la ressource officielle du service d'investissement d'une banque russe.

Exemple de site d'hameçonnage que les pirates informatiques font passer pour la ressource officielle d'un service d'investissement d'un établissement de crédit kazakh.

En savoir plus sur les sites non recommandés par Dr.Web

Logiciels malveillants et indésirables ciblant les appareils mobiles

Selon les statistiques de détection de Dr.Web Security Space pour les appareils mobiles, le premier trimestre 2026 a connu une augmentation continue de l'activité du cheval de Troie bancaire Android.Banker, qui avait été observée au quatrième trimestre de l'année précédente. Les plus répandus étaient des représentants de la sous-famille Android.Banker.Mamont. Parallèlement le nombre de détections des chevaux de Troie publicitaires Android.MobiDash et Android.HiddenAds a de nouveau diminué.

Parmi les logiciels potentiellement dangereux détectés, les plus courants étaient des programmes dans lesquels du code erroné était introduit à l'aide d'outils de modification (détectés comme Tool.Obfuscator.TrashCode). Cette technique est actuellement utilisée activement pour protéger les chevaux de Troie bancaires contre la détection par les logiciels antivirus. De plus, les applications modifiées à l'aide de l'utilitaire NP Manager (détectées sous le nom de Tool.NPMod) sont restées largement répandues.

Les logiciels indésirables le plus fréquemment détectés ont été les faux antivirus Program.FakeAntiVirus, qui exigeaient l'achat de la version complète pour « éliminer » les menaces supposément détectées. Les programmes publicitaires les plus actifs au cours du premier trimestre étaient Adware.Bastion.1.origin et Adware.Opensite.15. Les premières sont des applications d'optimisation qui créent des notifications contenant des messages concernant une mémoire insuffisante et des erreurs système supposées, afin d'afficher des publicités pendant l'« optimisation ». Les derniers sont de faux programmes de triche censés permettre d'obtenir diverses ressources dans les jeux, mais en réalité, ils ne font que télécharger des sites web publicitaires.

En janvier 2026, notre laboratoire antivirus a mis en garde contre les Trojans Clickers Android.Phantom. Ces applications malveillantes utilisent l'apprentissage automatique et les flux vidéo pour manipuler les clics sur les sites web.
Les cybercriminels les ont distribués par plusieurs méthodes : via le catalogue GetApps pour les appareils Xiaomi, les chaînes Telegram, les serveurs Discord, les collections de logiciels tiers et les sites web malveillants.

Au cours des trois derniers mois, les analystes antivirus de Doctor Web ont identifié de nouvelles menaces dans le catalogue Google Play, notamment les applications de type cheval de Troie Android.Joker et Android.Subscription, conçues pour inciter les utilisateurs à s'abonner à des services payants.

Les événements les plus importants du 1er trimestre liés à la sécurité des appareils mobiles :

Les Trojans bancaires Android.Banker sont devenus la menace la plus courante pour les appareils Android.
Les cybercriminels utilisent de plus en plus les outils de modification d'applications Android pour protéger les chevaux de Troie bancaires contre la détection par les antivirus.
La tendance à la baisse de l'activité des chevaux de Troie publicitaires Android.MobiDash et Android.HiddenAds s'est poursuivie.
Les utilisateurs ont été menacés par les chevaux de Troie Android.Phantom, qui utilisent l'apprentissage automatique et les flux vidéo pour manipuler les clics sur les sites web.
De nouvelles applications malveillantes ont été détectées sur Google Play.

Pour en savoir plus sur la situation virale et les menaces ciblant les appareils mobiles au 1er trimestre 2026, consultez notre Rapport.

Doctor Web : rapport viral sur les menaces pour appareils mobiles du 1er trimestre 2026

Wed, 01 Apr 2026 00:00:00 GMT

le 1 avril 2026

Selon les statistiques de détection de Dr.Web Security Space pour les appareils mobiles, l'activité des logiciels malveillants affichant des publicités intempestives, tels que Android.MobiDash et Android.HiddenAds, a continué de diminuer au premier trimestre 2026. Les premiers ont été détectés sur les appareils protégés 32,70 % moins souvent, tandis que les seconds ont été détectés 7,09 % moins souvent par rapport au quatrième trimestre de l'année dernière. Ils ont cédé leur place aux chevaux de Troie bancaires de la famille Android.Banker, dont l'activité a été multipliée par plus de 2,5 au cours des trois derniers mois. De ce fait, ces programmes sont devenus les menaces les plus répandues pour Android. Ces applications malveillantes interceptent les SMS contenant les codes de confirmation des transactions bancaires, affichent des fenêtres d'hameçonnage et peuvent également imiter l'apparence de logiciels bancaires légitimes pour voler des données confidentielles. Les utilisateurs rencontraient le plus souvent des chevaux de Troie de la sous-famille Android.Banker.Mamont, qui comprend divers programmes malveillants.

Les applications dans lesquelles du code inutile a été ajouté pour obscurcir la logique à l'aide d'outils de piratage pour modding de NP Manager se sont largement répandues (15,35 % du nombre total de détections) au cours du premier trimestre.

Depuis l'automne dernier, ces outils sont activement utilisés par la famille de chevaux de Troie Android.Banker.Mamont pour empêcher leur détection par des logiciels antivirus. C'est pourquoi nous vous avertissons si l'une de ces applications a été modifiée. Ce type de logiciel est détecté par les produits antivirus Dr.Web comme Tool.Obfuscator.TrashCode.

Un autre logiciel potentiellement dangereux courant, malgré une diminution de 31,65 % du nombre de détections, était à nouveau un programme modifié à l'aide de l'utilitaire NP Manager (détecté par Dr.Web sous le nom de Tool.NPMod). Cet utilitaire contient divers modules permettant d'obfusquer et de protéger le code du programme, ainsi que de contourner la vérification de leur signature numérique après modification. Les cybercriminels l'utilisent pour protéger des logiciels malveillants afin d'empêcher leur détection par les antivirus.

Les applications indésirables les plus courantes sont de faux programmes antivirus Program.FakeAntiVirus, qui prétendent détecter des menaces et exigent l'achat de la version complète pour les « éliminer ». De plus, les utilisateurs ont de nouveau rencontré des programmes des familles Program.FakeMoney et Program.CloudInject. Les premiers permettent soi-disant de gagner de l'argent en accomplissant diverses tâches. Les seconds sont des logiciels modifiés via le service cloud CloudInject. Il sert à ajouter des autorisations système dangereuses et du code obscurci aux applications, dont le fonctionnement ne peut être contrôlé.

Parmi les logiciels publicitaires, les programmes d'optimisation les plus détectés étaient Adware.Bastion.1.origin. Ils envoient régulièrement des notifications contenant des messages trompeurs concernant de prétendus problèmes de mémoire et des erreurs système. Leur but est d'afficher des publicités pendant les opérations d'« optimisation ». Un autre logiciel publicitaire populaire était l'application Adware.Opensite.15 que les attaquants déguisaient en outils de triche pour obtenir des ressources dans les jeux. En réalité, ces programmes téléchargent divers sites web de publicités. Les programmes dotés de modules publicitaires intégrés, tels que Adware.AdPush, se sont également largement répandus à nouveau.

En janvier, Doctor Web a informé les utilisateurs de l'existence d'Android.Phantom, une nouvelle famille d'applications de type « clicker » basées sur un cheval de Troie. Nos analystes antivirus ont identifié plusieurs sources de diffusion de ce logiciel malveillant. L'une d'elles est GetApps, le catalogue d'applications officiel des appareils Xiaomi, où des chevaux de Troie ont été injectés dans plusieurs jeux. De plus, des cybercriminels ont distribué des programmes de "clicker" ainsi que des versions modifiées d'applications populaires via divers canaux Telegram, serveurs Discord, plateformes de téléchargement de logiciels en ligne et sites web malveillants.

En utilisant Android.Phantom, les attaquants manipulent des clics publicitaires sur les sites web grâce à l'apprentissage automatique et à WebRTC, une technologie permettant de transmettre des données en flux continu (y compris la vidéo) via un navigateur. Les chevaux de Troie chargent des ressources Internet cibles dans une WebView invisible, ainsi que du code JavaScript pour simuler les actions de l'utilisateur. L'interaction avec les publicités se fait selon deux modes. Si l'appareil prend en charge WebRTC, les clickers Android.Phantom diffusent un écran virtuel sur lequel est chargé un site web contrôlé manuellement ou à l’aide d’un système automatisé par les attaquants.

Si WebRTC n'est pas disponible, des scripts JavaScript automatisés utilisant le framework TensorFlowJS sont utilisés. Les programmes de "clicker" téléchargent un modèle comportemental requis depuis un serveur distant, ainsi que le code JavaScript contenant le framework lui-même et toutes les fonctions nécessaires au fonctionnement du modèle et à son interaction avec les sites cibles.

Au cours du premier trimestre, le laboratoire antivirus de Doctor Web a enregistré l'apparition de nouvelles menaces dans le catalogue Google Play. Il s'agit notamment de nombreux chevaux de Troie Android.Joker, ainsi que des logiciels malveillants Android.Subscription.23 et Android.Subscription.24. Ils ont tous été créés pour inciter les utilisateurs à s'abonner à des services payants.

Tendances principales du 1er trimestre

Les chevaux de Troie bancaires Android.Banker sont devenus les menaces les plus répandues sur Android.
Les attaquants utilisent de plus en plus les outils de modding des programmes Android pour protéger les chevaux de Troie bancaires.
L'activité des chevaux de Troie publicitaires Android.MobiDash et Android.HiddenAds a continué de diminuer.
La propagation des chevaux de Troie Android.Phantom, qui utilisent l'apprentissage automatique et le streaming vidéo pour manipuler les clics sur les sites web.
Détection de nouvelles applications malveillantes sur Google Play.

Selon les données obtenues par Dr.Web Security Space pour les appareils mobiles

Android.Banker.Mamont.80.origin: Cheval de Troie bancaire qui intercepte les SMS contenant des codes à usage unique provenant d'établissements de crédit, le contenu des notifications et collecte d'autres informations confidentielles. Ces informations comprennent des données techniques sur l'appareil infecté, une liste des applications installées, des informations sur la carte SIM, les appels téléphoniques, les SMS reçus et envoyés.
Android.FakeApp.1600: Cheval de Troie qui télécharge un site Web indiqué dans ses paramètres. Les modifications connues de cette application malveillante téléchargent un site de casino en ligne.
Android.HiddenAds.675.origin: Trojan qui est conçu pour afficher des publicités. Les représentants de la famille Android.HiddenAds sont souvent diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires masquent généralement leur présence dans le système. Ils « masquent » notamment l'icône de l'application dans le menu de l'écran d'accueil.
Android.Packed.57.origin: Détection de l'obfuscateur, utilisé notamment pour protéger des applications malveillantes (par exemple, certaines versions du cheval de Troie bancaire Android.SpyMax).
Android.Click.1812: Détection des mods malveillants de la messagerie WhatsApp, qui de manière invisible pour l'utilisateur, peut charger différents sites en arrière-plan.

Program.FakeAntiVirus.1: Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète.
Program.FakeMoney.11: Applications qui permettent prétendument de gagner de l'argent en effectuant certaines actions ou tâches. Elles imitent l'accumulation de récompenses, alors que pour retirer l'argent « gagné », il est nécessaire d'accumuler un certain montant. Elles proposent généralement une liste de systèmes de paiement et de banques populaires par lesquels il serait possible de retirer les récompenses. Mais même lorsque les utilisateurs parviennent à accumuler un montant suffisant pour effectuer un retrait, les paiements promis ne sont pas versés. Cette entrée de la base détecte également d'autres logiciels indésirables basés sur le code de tels programmes.
Program.CloudInject.5
Program.CloudInject.1: Détection des applications Android modifiées à l'aide du service CloudInject et de l'utilitaire Android du même nom (ajouté à la base de données de virus Dr.Web sous le nom de Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant, tandis que l'utilisateur (moddeur) intéressé à les changer ne contrôle pas ce qui y sera intégré. De plus, les applications reçoivent un ensemble d'autorisations dangereuses. Après la modification, l'utilisateur qui fait du modding (moddeur) reçoit une possibilité de contrôler à distance ces programmes — les bloquer, afficher des boîtes de dialogue personnalisées, suivre l'installation et la désinstallation d'autres logiciels, etc.
Program.SnoopPhone.1.origin: Application conçue pour surveiller les propriétaires d'appareils Android. Cette appli permet de lire les SMS, de recevoir des informations sur les appels téléphoniques, de suivre les coordonnées de l'appareil et d'effectuer un enregistrement audio de l'environnement.

Tool.Obfuscator.TrashCode.1
Tool.Obfuscator.TrashCode.2: Détection des applications Android ayant subi une injection de code malveillant à l'aide d'outils de modding d'applications utilisés par des pirates informatiques. Cette modification vise à masquer la logique du programme. Cette technique est fréquemment utilisée dans les chevaux de Troie bancaires et les versions piratées de logiciels.
Tool.NPMod.3
Tool.NPMod.1: Détection des applications Android modifiées à l'aide de l'utilitaire NP Manager. Cet utilitaire contient divers modules permettant d'obfusquer et de protéger le code du programme, ainsi que de contourner la vérification de leur signature numérique après modification. L'obfuscation qu'elle ajoute est souvent utilisée dans les logiciels malveillants pour les rendre plus difficiles à détecter et à analyser.
Tool.LuckyPatcher.2.origin: Utilitaire qui permet de modifier les applications Android installées (créer des correctifs pour elles) afin de changer la logique de leur fonctionnement ou de contourner certaines restrictions. Il permet notamment, de désactiver la vérification de l'accès root dans les applications bancaires ou d’obtenir des ressources illimitées dans les jeux. Pour créer ces correctifs, l'utilitaire télécharge des scripts spécialement préparés sur Internet, que n'importe qui peut créer et ajouter à la base de données commune. La fonctionnalité de ces scripts peut également être malveillante, c'est pourquoi les correctifs créés peuvent représenter un danger potentiel.

Adware.Bastion.1.origin: Détection des programmes d'optimisation qui créent périodiquement des notifications contenant des messages trompeurs concernant une mémoire insuffisante et des erreurs système supposées, afin d'afficher des publicités pendant « l'optimisation ».
Adware.AdPush.3.origin: Module publicitaire pouvant être intégré à des applications Android. Il affiche des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent ressembler aux messages du système d'exploitation. De plus, le module collecte un certain nombre de données confidentielles, et est également capable de télécharger d'autres applications et d'initier leur installation.
Adware.Opensite.15: Des applications déguisées en outils de triche pour obtenir des ressources dans les jeux. En réalité, elles sont conçues pour afficher des publicités. Ces programmes reçoivent une configuration d'un serveur distant, selon laquelle ils chargent un site web cible avec des publicités (bannières, pop-ups, vidéos, etc.).
Adware.Fictus.1.origin: Module publicitaire que les pirates intègrent dans des versions clonées de jeux et d'applications Android populaires. Son intégration dans les programmes se fait à l'aide d'un packer spécialisé net2share. Les copies du logiciel ainsi créées sont distribuées via divers répertoires d'applications et affichent des publicités indésirables après l'installation.
Adware.Airpush.7.origin: Modules publicitaires qui sont intégrés dans des applications Android et affichent différentes publicités. Selon leur version et modification, il peut s'agir de publicités, de pop-ups ou de bannières. A l'aide de ces modules, les pirates distribuent souvent des malwares en proposant d'installer des applications. De plus, de tels modules transmettent diverses informations confidentielles à un serveur distant.

Menaces sur Google Play

Au premier trimestre 2026, les spécialistes du laboratoire antivirus Doctor Web ont découvert davantage d'applications malveillantes Android.Joker dans le catalogue Google Play, qui abonnent les victimes à des services payants. Les chevaux de Troie ont été dissimulés dans plusieurs utilitaires d'optimisation Android et distribués sous forme de messageries instantanées, d'applications multimédias et d'autres logiciels. Au total, ces applications ont été téléchargées au moins 370 000 fois par les utilisateurs.

Exemples de logiciels malveillants Android.Joker détectés sur Google Play au premier trimestre Android.Joker.2511 a été intégré dans le messager Private Chat Message, et Android.Joker.2524 a été intégré dans l'application appareil photo Magic Camera.

De plus, nos analystes de virus ont découvert les logiciels malveillants Android.Subscription.23 et Android.Subscription.24, qui sont également conçus pour connecter les utilisateurs à des services payants. Les chevaux de Troie chargent des sites web qui activent des abonnements mobiles payants en utilisant la technologie Wap Click. Ces sites demandent aux utilisateurs un numéro de téléphone portable, puis essaient de se connecter automatiquement au service. Ces deux applications malveillantes ont été téléchargées plus de 1,5 million de fois depuis Google Play.

Les logiciels malveillants Android.Subscription.23 et Android.Subscription.24 ont été distribués sous le couvert des applications de finances personnelles Stream Hive et Prime Link, mais leur seule fonctionnalité consistait à charger des sites Web qui connectaient les propriétaires d'appareils Android à des services mobiles payants.

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.

Indicateurs de compromission

La solution Dr.Web pour la protection des ordinateurs personnels a reçu le prix SKD AWARDS

Thu, 26 Mar 2026 13:06:16 GMT

Dr.Web Security Space, solution de protection pour ordinateurs personnels, a de nouveau été récompensée par le prestigieux prix SKD AWARDS. Dr.Web Security Space a remporté la première place dans la catégorie « Antivirus pour PC ».

Il s’agit du troisième prix consécutif de ce type pour Doctor Web. En 2023, Dr.Web Security Space 12.0 pour Windows avait remporté le prix dans la catégorie " Sécurité des ordinateurs personnels", et en 2024, la solution antivirus pour les ordinateurs personnels a de nouveau été reconnue comme la meilleure, tandis que Dr.Web Mobile Engine SDK a remporté le prix dans la catégorie " Moteurs antivirus ".

SKD AWARDS est un programme de récompenses annuel présenté par SKD Labs, un laboratoire d'essais et de certification indépendant mondialement reconnu dans le domaine de la sécurité informatique. Ce prix est officieusement surnommé « l'Oscar des produits de cybersécurité » et est considéré comme l'un des indicateurs importants pour évaluer l'efficacité des produits spécialisés.

Dans le cadre de ce prix, les produits subissent une série de tests qui évaluent leur fonctionnalité, leurs performances, leur innovation technique, leur comportement dans des scénarios réels et leur capacité à détecter les menaces et à y répondre.

Offre Saint-Valentin : -50 % sur Dr.Web Security Space pour les appareils mobiles

Fri, 06 Feb 2026 13:30:20 GMT

Du 9 au 16 février 2026, profitez de 50 % de remise sur Dr.Web Security Space pour les appareils mobiles sous Android.

Protégez ce qui compte : avec Doctor Web vous pouvez faire des économies, tout en protégeant un être cher contre les menaces en ligne : phishing, applications malveillantes, tentatives de vol de données et spam. Avec les solutions Dr.Web, restez protégé et naviguez en toute sécurité !

Dr.Web Security Space pour les appareils mobiles — protection des appareils mobiles, des tablettes, des Smart TV et des consoles de jeux sous Android :

protège en permanence contre tous les types de logiciels malveillants
bloque les appels indésirables et le spam via SMS
assure la sécurité des données personnelles, transactions bancaires, achats et paiements en ligne

Bénéficiez d’une remise de 50% lors de l’achat d’une licence de Dr.Web Security Space 2 appareils mobiles / 1 an

Acheter avec 50% de remise

Android.Phantom : des chevaux de Troie Android diffusés via jeux et applications piratées

Tue, 03 Feb 2026 00:00:00 GMT

Le 3 février 2026

Les chevaux de Troie de la famille Android.Phantom infiltrent des smartphones via des jeux et des versions modifiées piratées d'applications populaires. Ils utilisent l'apprentissage automatique et le streaming vidéo pour augmenter le nombre de clics.

Des spécialistes du laboratoire antivirus Doctor Web ont détecté et analysé une nouvelle famille de chevaux de Troie dotés d'une fonctionnalité de clicker. Ils ont une chose en commun : ils sont soit contrôlés depuis le serveur hxxps[:]//dllpgd[.]click, soit téléchargés et exécutés par commande depuis celui-ci.

Ce type de logiciel malveillant infecte les smartphones fonctionnant sous Android.

L'un des canaux de propagation des chevaux de Troie est le catalogue officiel d'applications pour les appareils Xiaomi, GetApps.

Nous avons identifié plusieurs jeux mobiles contenant des logiciels malveillants : Creation Magic World (plus de 32 000 téléchargements), Cute Pet House (>34 000 téléchargements), Amazing Unicorn Party (>13 000 téléchargements), Академия мечты Сакура (>4 000 téléchargements), Theft Auto Mafia (>61 000 téléchargements), Open World Gangsters (>11 000 téléchargements). Tous les jeux infectés sont publiés pour le compte du seul développeur, SHENZHEN RUIREN NETWORK CO., LTD. Des chevaux de Troie y sont intégrés et s'exécutent en même temps que les applications.

Les versions initiales des jeux ne contenaient aucun logiciel malveillant. Le 28 et le 29 septembre, le développeur a publié des mises à jour pour les jeux contenant le cheval de Troie Android.Phantom.2.origin. Il fonctionne dans deux modes, qui dans le code du programme sont conventionnellement appelés mode de signalisation (signaling) et mode fantôme (phantom).

En mode fantôme, le logiciel malveillant utilise un navigateur intégré basé sur le widget WebView, caché à l'utilisateur. Le site cible pour l'augmentation des clics et le fichier JavaScript « phantom » y sont chargés sur commande depuis le serveur hxxps[:]//playstations[.]click. Ce dernier contient un script permettant d'automatiser les actions sur les publicités du site chargé et le framework d'apprentissage automatique TensorFlowJS. Le modèle de ce framework est téléchargé depuis le serveur hxxps[:]//app-download[.]cn-wlcb[.]ufileos[.]com vers le répertoire de l'application. Dans certains scénarios de fonctionnement avec certains types de publicité, Android.Phantom.2.origin place un navigateur sur un écran virtuel et prend des captures d'écran. Le Trojan les analyse à l'aide d'un modèle pour le framework TensorFlowJS, puis clique sur les éléments détectés.

En mode signalisation, le cheval de Troie se connecte à un serveur tiers via WebRTC. Cette technologie permet aux navigateurs et aux applications d'établir une connexion directe pour échanger des données, de l'audio et de la vidéo en temps réel sans installer de logiciel supplémentaire. En mode signaling, le hxxps[:]//dllpgd[.]click déjà mentionné agit comme un serveur de signalisation, établissant des connexions entre les nœuds WebRTC. Ce serveur détermine également le mode de fonctionnement du cheval de Troie : phantom ou signaling. Les tâches avec des sites cibles proviennent de hxxps[:]//playstations[.]click. Puis, à l’insu de l’utilisateur, Android.Phantom.2.origin diffuse aux attaquants, une vidéo de l'écran virtuel affichant le site web chargé dans le navigateur. Le cheval de Troie permet à un nœud WebRTC connecté de contrôler à distance le navigateur sur un écran virtuel : cliquer, faire défiler, saisir ou coller du texte dans un formulaire de saisie.

Le 15 et le 16 octobre, les jeux mentionnés ci-dessus ont reçu une nouvelle mise à jour. En plus d'Android.Phantom.2.origin, ils ont reçu le module intégré Android.Phantom.5. Il s'agit d'un dropper (programme d'installation) contenant le chargeur de code distant Android.Phantom.4.origin. Ce programme télécharge plusieurs autres chevaux de Troie conçus pour simuler des clics sur différents sites web. Ces modules sont plus simples que le clicker Android.Phantom.2.origin : ils n'utilisent ni apprentissage automatique ni streaming vidéo, mais sont pilotés par des scripts de clic écrits en JavaScript.

Pour utiliser la technologie WebRTC sous Android, le cheval de Troie doit se connecter à une bibliothèque spécialisée via l'API Java, qui n'est pas incluse dans le système d'exploitation standard ni dans les applications téléchargées. Par conséquent, dans un premier temps, le cheval de Troie fonctionnait principalement en mode phantom. Avec l'ajout d'Android.Phantom.5, à l'application, le Trojan Android.Phantom.2.origin a acquis la capacité d'utiliser le chargeur de code distant Android.Phantom.4.origin pour charger la bibliothèque nécessaire.

Les attaquants utilisent également d'autres canaux pour distribuer les chevaux de Troie Android.Phantom.2.origin et Android.Phantom.5. Par exemple, des mods pour le streaming musical Spotify avec des fonctionnalités premium débloquées. Elles sont publiées sur différents sites web, voici quelques exemples :

Site Spotify Plus

Site Spotify Pro

Et dans les canaux Telegram spécialisés :

Spotify Pro
(54 400 abonnés)

Spotify Plus – Official
(15 057 abonnés)

Les mods Spotify publiés sur les sites web et dans les chaînes Telegram présentés dans les captures d'écran contiennent Android.Phantom.2.origin et une bibliothèque pour la communication WebRTC sur Android.

A part les mods Spotify, les pirates installent également des chevaux de Troie dans les mods d'autres applications populaires : YouTube, Deezer, Netflix et autres. Ils sont publiés sur des sites de mods spécialisés :

Site Apkmody

Site Moddroid

Le site web Moddroid contient une section « Choix de l'éditeur ». Sur les 20 applications qu'elle contenait, seules 4 étaient saines. Les 16 autres contenaient des chevaux de Troie de la famille Android.Phantom. Les applications de ces deux sites sont téléchargées à partir du même serveur CDN hxxps[:]//cdn[.]topmongo[.]com. Ces sites possèdent leurs propres canaux Telegram où les utilisateurs téléchargent des mods infectés par des chevaux de Troie :

Moddroid.com
(87 653 abonnés)

Apkmody Chat
(6 297 abonnés)

Les criminels utilisent également les serveurs Discord à leurs propres fins. Le plus important d'entre eux est Spotify X, avec environ 24 000 abonnés.

Les administrateurs de serveurs Discord n'hésitent pas à proposer directement des mods infectés. Par exemple, dans la capture d'écran ci-dessus, l'administrateur du serveur propose de télécharger un mod pour le service de streaming musical Deezer au lieu de Spotify, ce dernier ayant cessé de fonctionner.

Le mod opérationnel peut être téléchargé via le lien. Son code est protégé par un outil d'empaquetage commercial, à l'intérieur duquel le cheval de Troie Android.Phantom.1.origin est dissimulé. Il s'agit d'un chargeur de code distant ; sur commande du serveur hxxps[:]//dllpgd[.]click, il charge Android.Phantom.2.origin, Android.Phantom.5 et le Trojan espion Android.Phantom.5.origin. Ce dernier transmet aux attaquants des informations sur l'appareil, notamment, le numéro de téléphone, la géolocalisation et la liste des applications installées.

La capture d'écran du serveur montre les langues parlées par les utilisateurs qui deviennent des cibles d'infection. Pour accéder aux discussions dans des langues autres que l'anglais, vous devez configurer une réaction avec le drapeau approprié. Les langues les plus populaires pour s'enregistrer étaient l'espagnol, le français, l'allemand, le polonais et l'italien (sans compter l'anglais, qui est la langue principale du serveur). De plus, les administrateurs du serveur n'ont pas mis en place de chat pour de nombreux pays asiatiques.

Les chevaux de Troie peuvent causer des dommages importants aux propriétaires des appareils infectés. Voici quelques résultats possibles :

Complicité involontaire : Le smartphone d'un utilisateur peut être utilisé comme un bot dans une attaque DDoS, faisant ainsi de son propriétaire un complice involontaire de la cybercriminalité.
Activité illégale : L'appareil peut être utilisé par des pirates informatiques pour se livrer à des activités illégales en ligne, comme l'utilisation du smartphone pour des escroqueries ou l'envoi de messages indésirables.
Augmentation de la consommation de la batterie et du trafic : Les activités superflues entrainent une consommation accrue de la batterie et du forfait internet.
Fuite de données personnelles : Android.Phantom.5.origin est un logiciel espion capable de transmettre des données concernant l'appareil et son propriétaire.

Les chevaux de Troie de cette famille constituent une menace pour les propriétaires d'appareils mobiles Android qui ne sont pas protégés par un logiciel antivirus à jour. Les jeunes utilisateurs qui ne se soucient pas des règles d'hygiène numérique et qui veulent simplement jouer à des jeux, écouter de la musique ou regarder des clips vidéo sont particulièrement exposés.

Nous vous recommandons de ne pas télécharger de mods provenant de sites web et de chaînes douteux. En règle générale, vérifier les sources des mods ou des applications nécessite du temps, de l'expérience et de l'observation. Par conséquent, la meilleure option pour assurer votre tranquillité d'esprit et celle de vos proches est d'utiliser Dr.Web Security Space pour les appareils mobiles. Cette solution protégera non seulement vos smartphones, mais également vos autres appareils intelligents : consoles de jeux, tablettes, téléviseurs connectés.

Indicateurs de compromission
Plus d'info sur Android.Phantom.1.origin
Plus d'info sur Android.Phantom.2.origin
Plus d'info sur Android.Phantom.3
Plus d'info sur Android.Phantom.4.origin
Plus d'info sur Android.Phantom.5
Plus d'info sur Android.Phantom.5.origin

Doctor Web : rapport viral de l'année 2025

Thu, 15 Jan 2026 00:00:00 GMT

Le 15 janvier 2026

En 2025, les chevaux de Troie conçus pour afficher de la publicité sont devenus l'une des menaces les plus actives. Les utilisateurs ont également rencontré divers scripts malveillants et applications de type cheval de Troie, qui lancent d'autres logiciels malveillants sur le système infecté. Les chevaux de Troie, les portes dérobées, les exploits, les scripts malveillants et les documents d'hameçonnage ont été les types de menaces les plus fréquemment détectés dans le trafic e-mail.

Parmi les menaces mobiles, les plus répandues sont les chevaux de Troie publicitaires et les faux programmes utilisés dans diverses escroqueries. Une augmentation de l'activité des chevaux de Troie bancaires a également été constatée. Dans le même temps, les analystes de Doctor Web ont détecté des dizaines de nouvelles applications malveillantes, indésirables et publicitaires sur Google Play.

Par rapport à 2024, le nombre de demandes de décryptage de fichiers de la part des utilisateurs a diminué. Dans le même temps, tout au long de l'année, nos analystes Internet ont constaté une augmentation du nombre de sites web frauduleux créés pour voler les comptes d'utilisateurs de la messagerie Telegram. De plus, les sites Web financiers frauduleux sont redevenus très courants.

En 2025, le laboratoire antivirus Doctor Web a enquêté sur plusieurs attaques ciblées, dont l'une a été menée contre une entreprise russe de construction de machines. Lors de l'attaque, les attaquants ont utilisé plusieurs applications malveillantes pour tenter d'obtenir des données confidentielles à partir d'ordinateurs infectés. Nos spécialistes ont déterminé que le groupe de pirates informatiques Scaly Wolf a été impliqué dans l'attaque. Un autre incident s'est produit dans une agence gouvernementale russe, victime d'une attaque du groupe de pirates informatiques Cavalry Werewolf. Les analystes de Doctor Web ont identifié de nombreux outils malveillants utilisés par les attaquants et ont également analysé les caractéristiques du groupe ainsi que leurs actions typiques au sein des réseaux compromis.

Au cours de l'année 2025, Doctor Web a également signalé plusieurs autres incidents de sécurité informatique. En janvier, le laboratoire de Doctor Web a révélé une campagne active d'extraction de la cryptomonnaie Monero, organisée à l'aide de nombreux programmes malveillants. En avril, nous avons signalé la présence d'un cheval de Troie dans le micrologiciel de plusieurs modèles de smartphones Android. En utilisant ce Trojan, les cybercriminels ont volé de la cryptomonnaie. De plus, en avril, nos experts ont identifié un cheval de Troie Android que les attaquants ont introduit dans l'une des versions d'une appli de cartographie populaire et ils l'ont utilisé pour espionner les militaires russes.

En juillet, les experts de Doctor Web ont parlé d’une famille de chevaux de Troie conçue pour voler des crypto-monnaies et des mots de passe. Les attaquants les ont diffusés sous le couvert de mods, de tricheurs et de correctifs pour les jeux. En août, nos analystes de virus ont mis en garde contre la propagation d’une porte dérobée multifonctionnelle ciblant les appareils mobiles, et visant les représentants d’entreprises russes. Les cybercriminels la contrôlaient à distance, pour voler des données confidentielles et traquer les victimes.

En octobre nous avons signalé l'existence d'une porte dérobée ciblant les appareils Android et diffusée par des cybercriminels dans des versions modifiées de l'application Telegram X. Ce logiciel malveillant vole les identifiants et mots de passe des comptes Telegram ainsi que d'autres données confidentielles. En utilisant ce malware, les auteurs de virus peuvent gérer les comptes des victimes piratées et contrôler entièrement la messagerie elle-même, en effectuant diverses actions au nom des utilisateurs.

En décembre dernier, nous avons publié un article sur le cheval de Troie, qui gonfle la popularité des sites web en se faisant passer pour un humain afin d'éviter d'être bloqué par les systèmes de protection anti-bot des plateformes en ligne. Le logiciel malveillant recherche de manière autonome les sites web souhaités dans les moteurs de recherche, les ouvre et clique sur des pages web en fonction des paramètres reçus des attaquants.

L'année 2025 a également vu l'augmentation de la popularité des attaques ClickFix, dans lesquelles les attaquants utilisent l'ingénierie sociale pour inciter les utilisateurs à exécuter du code malveillant sur leurs appareils.

Les tendances principales de l'année

Une forte activité des chevaux de Troie publicitaires a été observée
De nouvelles attaques ciblées ont été enregistrées
Les attaques ClickFix ont gagné en popularité
Le nombre d'incidents liés aux chevaux de Troie de type rançongiciel a diminué
Le nombre de détections de chevaux de Troie bancaires ciblant Android a augmenté
De nouveaux cas de contamination du firmware Android ont été détectés
De nouvelles applications malveillantes et indésirables ont été détectées sur Google Play

Les événements les plus intéressants de 2025

En janvier 2025, les spécialistes de Doctor Web ont identifié une campagne de minage de la cryptomonnaie Monero utilisant le mineur malveillant SilentCryptoMiner. Ses fichiers ont été dissimulés sous l'apparence de divers logiciels, tels que des programmes de visioconférence Lors de l'infection des ordinateurs, ils supprimaient également les autres mineurs qui auraient pu être installés précédemment sur le système. Dans le cadre de cette campagne, les attaquants ont utilisé la stéganographie, une technique qui permet de dissimuler des données parmi d'autres (par exemple, dans des images), pour diffuser certains des éléments malveillants. Après avoir téléchargé les images spécialement conçues, les composants SilentCryptoMiner correspondants ont été extraits de celles-ci et lancés.

En avril, nos analystes ont signalé le Trojan Android.Clipper.31, qui a été découvert dans le firmware de plusieurs smartphones Android d'entrée de gamme. Les attaquants l'ont intégré dans une version modifiée de la messagerie WhatsApp, qu'ils ont ensuite préinstallée sur des appareils, ayant compromis ainsi la chaîne d'approvisionnement de certains fabricants. Android.Clipper.31 intercepte les messages envoyés et reçus dans le messenger, recherche dans les messages des adresses de portefeuilles cryptographiques Tron et Ethereum et en remplace par des adresses appartenant aux pirates. Le cheval de Troie dissimule la substitution, et les victimes voient les adresses correctes des portefeuilles crypto dans ces messages.

Le même mois, les experts de Doctor Web ont découvert le cheval de Troie Android.Spy.1292.origin, que des attaquants avaient implanté dans une version du programme de cartographie Alpine Quest et utilisé pour espionner le personnel militaire russe. L'application malveillante collectait des informations sensibles et permettait aux attaquants de voler des fichiers sur les appareils infectés.

En juillet, Doctor Web a publié un article sur les chevaux de Troie Trojan.Scavenger conçus pour voler des cryptomonnaies et des mots de passe. Les attaquants les ont distribués sous le couvert de mods, de tricheurs et de correctifs pour les jeux. Ces applications malveillantes ont été lancées à l'aide d'applications légitimes, notamment grâce à l'exploitation des vulnérabilités de classe DLL Search Order Hijacking.

En août, nos analystes ont mis en garde contre la propagation de la porte dérobée multifonctionnelle Android.Backdoor.916.origin ayant ciblé les appareils mobiles, qui visait les représentants d’entreprises russes. L'application malveillante déguisée en antivirus a été diffusée par messages privés sur des messageries instantanées. Une fois installé sur les appareils cibles, Android.Backdoor.916.origin collectait des données sensibles et permettait aux attaquants d'espionner les victimes.

En août, le laboratoire antivirus de Doctor Web a publié une étude sur une attaque ciblée du groupe Scaly Wolf contre une entreprise russe de construction de machines. Les attaquants ont utilisé un certain nombre d'outils malveillants, parmi lesquels la porte dérobée modulaire Updatar est devenue l'un des principaux. Il permettait aux attaquants de collecter des données sensibles à partir d'ordinateurs infectés.

En octobre, les experts de Doctor Web ont parlé de la porte dérobée Android.Backdoor.Baohuo.1.origin, intégrée à des versions modifiées de l'application Telegram X. Android.Backdoor.Baohuo.1.origin vole les identifiants et mots de passe des comptes Telegram, ainsi que d'autres données confidentielles. Ce logiciel malveillant permet aux attaquants de prendre le contrôle total du compte d'un utilisateur et de gérer le messenger en effectuant des actions au nom de la victime. Par exemple, des attaquants peuvent rejoindre et quitter des chaînes Telegram de manière discrète et dissimuler des appareils nouvellement autorisés dans l'interface du cheval de Troie Telegram X.

En novembre, nous avons publié une étude sur une attaque ciblée menée par le groupe de pirates informatiques Cavalry Werewolf contre un établissement public russe. Lors de l'analyse de l'incident, les experts de Doctor Web ont découvert de nombreux outils malveillants utilisés par les cybercriminels, y compris des outils open source. Les analystes ont étudié les caractéristiques du groupe et ont constaté que ses membres préfèrent utiliser des portes dérobées avec fonctionnalité de shell inversé et utilisent souvent l'API Telegram pour contrôler les ordinateurs infectés. Ils lancent également des attaques en envoyant des courriels d'hameçonnage prétendant provenir d'agences gouvernementales et en joignant à ces messages des logiciels malveillants déguisés en divers documents officiels.

En décembre, Doctor Web a publié une étude du logiciel malveillant Trojan.ChimeraWire, qui augmente artificiellement la popularité des sites web en se faisant passer pour un humain. Le cheval de Troie recherche les sites web souhaités sur les moteurs de recherche Google et Bing, les ouvre et clique sur les pages web chargées conformément aux instructions reçues des attaquants. Trojan.ChimeraWire est installé sur les ordinateurs à l'aide d'un certain nombre de programmes malveillants qui exploitent les vulnérabilités de la classe DLL Search Order Hijacking.

Tout au long de l'année 2025, on a constaté une augmentation de la popularité des attaques utilisant la méthode ClickFix. Cette méthode consiste à recourir à l'ingénierie sociale afin d'amener des victimes potentielles à exécuter du code malveillant. Lorsque les utilisateurs arrivent sur un site malveillant ou compromis, celui-ci les informe d'une prétendue erreur ou de la nécessité de mettre à jour leur navigateur et leur propose de « remédier » au problème.

Pour ce faire, les utilisateurs sont invités, selon la variante de l'attaque, à copier les lignes indiquées sur la page ou à cliquer simplement sur le bouton approprié (par exemple, « Mettre à jour » ou « Corriger »). Dans ce dernier cas, le contenu souhaité sera automatiquement copié dans le presse-papiers. Il leur sera ensuite demandé d'ouvrir une invite de commandes ou un terminal PowerShell, d'y coller le contenu du presse-papiers et d'appuyer sur Enter. De ce fait, les victimes exécutent elles-mêmes un code malveillant, ce qui déclenche une chaîne d'infections informatiques. Pour plus d'informations sur les attaques ClickFix, veuillez consulter l'article correspondant sur notre site web.

Situation virale

Selon les statistiques de détection de l'antivirus Dr.Web, en 2025, le nombre total de menaces détectées a augmenté de 5,45% par rapport à 2024. Le nombre de menaces uniques a diminué de 15,89%. Le plus souvent, les utilisateurs ont rencontré divers scripts malveillants et chevaux de Troie publicitaires. De plus, les chevaux de Troie utilisés pour lancer d'autres programmes malveillants se sont largement répandus. Les utilisateurs ont été de nouveau menacés par des applications de type cheval de Troie créées dans le langage de script AutoIt et distribuées dans le cadre d'autres logiciels malveillants afin de les rendre plus difficiles à détecter.

VBS.KeySender.6
VBS.KeySender.7: Script malveillant qui, dans une boucle infinie, recherche des fenêtres avec les textes suivants : mode extensions, разработчика et розробника et leur envoie un événement de clic sur le bouton Échap, les forçant à fermer.
Trojan.BPlug.4242: Composant malveillant de l'extension de navigateur WinSafe. Ce composant est un script JavaScript qui affiche des publicités intrusives dans les navigateurs.
Trojan.Starter.8319
Trojan.Starter.8326
Trojan.Starter.8332: Détection de scripts XML malveillants qui lancent le Trojan Trojan.AutoIt.289 et ses composants.
JS.Siggen5.44590: Code malveillant ajouté à la bibliothèque publique JavaScript es5-ext-main. Affiche un message spécifique si le package est installé sur un serveur avec le fuseau horaire des villes russes.
Trojan.Siggen30.53926: Le processus hôte du framework Electron modifié par les pirates, imitant le composant d'application Steam (Steam Client WebHelper) et chargeant la porte dérobée JavaScript.
JS.MalVpn.1: Un script malveillant utilisé par divers programmes malveillants pour se connecter aux serveurs de contrôle.
Trojan.Siggen31.34463: Cheval de Troie écrit dans le langage de programmation Go et conçu pour charger divers miners et logiciels publicitaires dans le système cible. Le malware est un fichier DLL situé dans %appdata%\utorrent\lib.dll. Pour son lancement, il exploite une vulnérabilité de la classe DLL Search Order Hijacking dans le client torrent uTorrent.

En 2025, les logiciels malveillants les plus fréquemment détectés dans le trafic de messagerie étaient des chevaux de Troie qui téléchargeaient et installaient d'autres logiciels malveillants. Les attaquants ont également diffusé diverses portes dérobées par courrier électronique, des exploits, des documents d'hameçonnage et des scripts malveillants.

W97M.DownLoader.2938: Famille de Trojans Downloaders qui exploitent les vulnérabilités des documents créés dans MS Office. Ils sont conçus pour télécharger d'autres logiciels malveillants sur l'ordinateur attaqué.
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4: Exploits conçus pour exploiter des vulnérabilités dans le logiciel Microsoft Office et qui permettent l'exécution du code arbitraire.
JS.Phishing.684
JS.Phishing.745: Un script malveillant écrit en JavaScript qui crée une page web de phishing.
BackDoor.AgentTeslaNET.20: Logiciel espion malveillant conçu pour voler des informations confidentielles. Par exemple, il collecte et transmet aux attaquants les identifiants et mots de passe de diverses applications, telles que les navigateurs, les messageries instantanées, les clients de messagerie électronique, les bases de données, etc. Il vole également les données du presse-papiers, intègre une fonction d'enregistrement des frappes au clavier et peut réaliser des captures d'écran.
Win32.Expiro.153: Virus de fichiers qui infecte les fichiers exécutables Windows. Son objectif principal est de voler les mots de passe de divers programmes.
JS.DownLoader.1225: Détection heuristique des archives ZIP contenant des scripts JavaScript aux noms suspects.
Trojan.PackedNET.3223: Détection de logiciels malveillants protégés par un packer.
Trojan.AutoIt.1413: Version packagée d'un cheval de Troie Trojan.AutoIt.289 écrit dans le langage de script AutoIt. Cette version est distribuée dans le cadre d'un groupe de plusieurs applications malveillantes - un miner, une porte dérobée et un module d'auto-propagation. Trojan.AutoIt.289 effectue différentes actions malveillantes qui empêchent la détection de la charge " utile " principale.

Rançongiciels

Par rapport à 2024, le support technique de Doctor Web a reçu 35,98% de demandes en moins de la part d'utilisateurs affectés par un ransomware à chiffrement en 2025. La dynamique d'enregistrement des demandes de décryptage des fichiers est présentée dans le schéma ci-dessous :

Les ransomwares à chiffrement les plus répandus en 2025 :

Trojan.Encoder.35534 (23,22% des demandes): Rançongiciel connu sous le nom de Mimic. Lors de la recherche de fichiers cibles pour le cryptage, le cheval de Troie utilise la bibliothèque everything.dll du programme Everything, qui est légitime et conçu pour rechercher instantanément des fichiers sur les ordinateurs Windows.
Trojan.Encoder.35209 (3,33% des demandes): Programme de chiffrement basé sur le code source du cheval de Troie Conti. Il chiffre des fichiers à l'aide de l'algorithme ChaCha20. Suite à la destruction de plusieurs serveurs de commande et de contrôle des attaquants et à la divulgation de clés de chiffrement RSA privées pour certaines modifications de ce logiciel malveillant, le déchiffrement des fichiers affectés est désormais possible.
Trojan.Encoder.35067 (2,50% des demandes): Un ransomware à chiffrement connu sous le nom de Macop (l'une des variantes de ce cheval de Troie est Trojan.Encoder.30572). Il est de petite taille, environ 30-40 Ko. Cela est dû en partie au fait que le cheval de Troie ne comporte pas de bibliothèques cryptographiques tierces et n'utilise que des fonctions CryptoAPI pour le cryptage et la génération de clés. Il utilise l'algorithme AES-256 pour crypter les fichiers, et les clés elles-mêmes sont cryptées avec RSA-1024.
Trojan.Encoder.41868 (2,31% des demandes): Logiciel de chiffrement, dont des artefacts indiquent l'implication du groupe de pirates informatiques C77L.v. dans sa création.
Trojan.Encoder.29750 (2,13% des demandes): Cheval de Troie de type ransomware existant en plusieurs versions. Ses modifications actuelles chiffrent les fichiers à l'aide de l'algorithme AES-256+RSA.

Fraudes sur le Web

En 2025, les analystes de Doctor Web ont observé une augmentation du nombre de sites d'hameçonnage créés pour voler des comptes de messagerie Telegram. Les attaquants ont utilisé diverses techniques : fausses pages d’authentification et d’autorisation, faux messages du support Telegram signalant de prétendues violations dans l’utilisation du messenger et la nécessité de « vérifier » le compte, etc.

Voici un exemple de site d'hameçonnage vous informant que vous devez vérifier votre compte Telegram suite à une violation des conditions d'utilisation du service.

Des sites web similaires ont également été créés pour les utilisateurs d'autres services, tels que les plateformes de jeux, les boutiques en ligne, etc. Ces faux sites pouvaient ressembler à de véritables ressources en ligne et inciter les utilisateurs à se connecter à leurs comptes.

Si les utilisateurs tombaient dans le piège, des informations confidentielles se retrouvaient entre les mains des attaquants.

Un faux site web Steam affiche un formulaire d'hameçonnage demandant la saisie d'un identifiant et d'un mot de passe.

Les utilisateurs se sont de nouveau retrouvés confrontés à diverses ressources frauduleuses en ligne proposant toutes sortes de cadeaux et de bonus, ainsi que la participation à certaines « promotions lucratives ». Les faux sites web de places de marché russes se sont multipliés, proposant aux visiteurs de participer à des " tirages au sort ". Les « gains » sur ces faux sites ont été programmés, et pour les « recevoir », la victime devait effectuer un certain paiement, par exemple, soi-disant sous forme de taxe, puis pour la livraison des biens et leur assurance. Dans d'autres versions de l'escroquerie, le produit désiré était soi-disant indisponible, mais un équivalent en espèces a été proposé à sa place. Pour « recevoir » l'argent, l'utilisateur devait également effectuer un certain nombre de paiements : frais, assurance, etc. La victime n'a finalement rien reçu.

Voici un exemple de faux site de vente en ligne proposant un « tirage au sort ».

Des variantes de ces stratagèmes incluaient de faux sites web d'entreprises de transport ciblant les résidents britanniques. Ils proposaient de participer à un tirage au sort pour des cartes de transport, censément organisé à l'occasion d'un certain événement et prétendument permettant l'utilisation gratuite des transports publics. Après avoir « gagné », les escrocs demandaient à leurs victimes de fournir des informations personnelles et de payer une petite « commission ».

Un site web frauduleux, prétendant appartenir à une entreprise de transport, propose de participer à un « tirage au sort de tickets ».

Toutes sortes de sites web financiers frauduleux restent d'actualité. Les ressources proposant de gagner de l'argent en négociant sur le marché à l'aide de systèmes automatisés basés sur des soi-disant algorithmes uniques et des technologies d'intelligence artificielle ont de nouveau connu un grand succès auprès des pirates informatiques. Ces sites web sont créés en visant les résidents de nombreux pays. Le plus souvent, ils demandent des informations personnelles pour enregistrer une « demande » ou un « compte », puis ces informations tombent entre les mains de criminels qui les utilisent à leur guise. Ils peuvent ensuite revendre les données ou continuer à attirer des victimes potentielles vers un faux service d'investissement, en exigeant qu'elles déposent de l'argent sur un compte de « trading ».

L'un des sites web frauduleux proposant l'accès à une « plateforme d'investissement » basée sur des technologies d'intelligence artificielle a été prétendument lié à Apple.

Bon nombre de ces sites sont construits à partir de modèles similaires, comme une fausse conversation avec un « assistant virtuel » ou un « employé » d'une entreprise particulière, censément au nom duquel les escrocs contactent la victime potentielle. L'utilisateur est invité à répondre à une série de questions, puis à fournir des informations personnelles.

Sur l'un de ces sites web, les escrocs proposaient aux utilisateurs français l'accès à un logiciel de trading automatisé inexistant appelé TraderAI, qui leur permettrait de gagner 3 500 € minimum.

Une ressource faisait la promotion d'un service d'investissement prétendument intégré directement à la messagerie Telegram. Le site promettait un revenu de 10 000 € par mois grâce au trading automatisé d’actions de sociétés internationales « directement dans le navigateur de votre téléphone ».

Un site web frauduleux invite à rejoindre une « plateforme Telegram » qui prétend négocier des actions de manière indépendante.

Les escrocs proposaient également à leurs victimes potentielles de gagner de l'argent grâce à des « robots de trading » prétendument créés avec la participation de grandes entreprises et de services tels que Telegram, WhatsApp, TikTok et autres.

Voici un exemple de site web qui invitait les utilisateurs à utiliser un robot de trading inexistant, soi-disant lié à la messagerie WhatsApp.

Tout au long de l'année 2025, nos analystes internet ont identifié de nouveaux sites web frauduleux proposant des investissements dans le secteur pétrolier et gazier à des utilisateurs de nombreux pays, dont la Russie, la CEI et l'Europe. Sur ces sites web, les victimes potentielles sont souvent invitées à fournir des informations personnelles : prénom, nom, numéro de téléphone portable, adresse électronique, etc.

Un site web frauduleux ciblant les citoyens kirghizes leur offre la possibilité de « gagner de l'argent grâce au pétrole et au gaz », promettant des profits importants.

Des sites web frauduleux proposant de recevoir une « aide gouvernementale » sous forme de paiements ou d'indemnisation, ont refait surface. Par exemple, des ressources frauduleuses prétendument liées au portail Gosuslugi ont été diffusées sur la partie russe d'Internet.

Voici un exemple de site web frauduleux se prétendant lié au service « Gosuslugi » et promettant aux utilisateurs russes des paiements stables de la part du gouvernement et d'une grande compagnie pétrolière et gazière. Pour « participer » au programme de paiement, la victime devait fournir des informations personnelles

Nos experts ont également constaté l'apparition de nouveaux sites web frauduleux se présentant comme des projets éducatifs.
Ils proposaient aux utilisateurs diverses formations pour améliorer leurs connaissances financières, apprendre un métier, etc. Pour « accéder » à la formation, les victimes potentielles, devaient fournir des informations personnelles, comme dans de nombreuses autres arnaques similaires.

L'un des sites web frauduleux proposait des cours d'anglais.

Les analystes internet de Doctor Web ont identifié de nouveaux sites web frauduleux vendant des billets de théâtre. Sur ces sites, les escrocs proposent aux victimes potentielles des billets à des prix avantageux. Mais en réalité, après le « paiement », les utilisateurs ne reçoivent rien.

Exemple de site web frauduleux vendant des billets de théâtre inexistants

Par ailleurs, de nouveaux sites web frauduleux se faisant passer pour des cinémas privés se sont également multipliés. Comme pour les billets de théâtre, les escrocs proposent à leurs victimes potentielles des billets de cinéma, mais ces dernières finissent par leur remettre leur argent.

Un faux site web d'un cinéma privé

Сiblant les appareils mobiles

Selon les statistiques de détection de Dr.Web Security Space pour les appareils mobiles, en 2025, les utilisateurs Android ont le plus souvent rencontré les chevaux de Troie publicitaires Android.MobiDash et Android.HiddenAds, ainsi que les faux programmes Android.FakeApp, qui, au lieu d'exécuter leurs fonctionnalités annoncées, peuvent charger divers sites Web, y compris des sites frauduleux et malveillants. Une augmentation de l'activité des applications du cheval de Troie Android.Triada a également été constatée. Ces Trojans sont des menaces multifonctionnelles que les attaquants intègrent dans le micrologiciel des appareils Android. De plus, on a constaté une augmentation du nombre d'attaques menées par le cheval de Troie bancaire Android.Banker. Dans le même temps, l'activité des Trojans bancaires Android.SpyMax a diminué.

L'année dernière, les auteurs de virus ont continué à utiliser diverses techniques pour protéger des logiciels malveillants contre le système d'exploitation Android. L'une d'elles était une méthode de conversion du code DEX en code C (connue sous le nom de DCC ou DEX to C).

Les applications indésirables les plus courantes étaient Program.FakeMoney. Ils offrent aux utilisateurs une possibilité d'accomplir diverses tâches en échange de récompenses virtuelles et promettent de convertir ces récompenses en argent réel. Mais en réalité, ils n'ont pas cette possibilité. De plus, les applications Program.FakeAntiVirus.1 et Program.CloudInject.1 ont été fréquemment détectées sur des appareils protégés. Les premiers imitent le fonctionnement des programmes antivirus et détectent des menaces inexistantes, proposant de « guérir » l'infection en achetant la version complète du logiciel. Les secondes sont des applications qui ont été modifiées via un service cloud populaire. Lorsqu'elles sont modifiées, elles sont complétées par des permissions système dangereuses et par un code obscurci dont la finalité est incontrôlable.

Les programmes modifiés à l'aide de l'utilitaire NP Manager (détectés sous le nom Tool.NPMod), sont devenus les logiciels potentiellement dangereux les plus répandus. Cet utilitaire masque le code des applications modifiées et leur permet de contourner la vérification de signature numérique. Les programmes publicitaires les plus actifs en 2025 étaient des modifications tierces de WhatsApp (Adware.ModAd.1), qui ouvraient automatiquement des liens publicitaires lors de l'utilisation du messenger.

En 2025, de nouveaux cas d'infection du micrologiciel d'appareils Android ont été identifiés. Notre société a informé de l'un d'eux en avril. Des pirates ont préinstallé l'application malveillante Android.Clipper.31 dans la zone système de plusieurs modèles de smartphones d'entrée de gamme et l'ont utilisée pour voler les cryptomonnaies des utilisateurs. D'autres attaquants ont réussi à injecter des chevaux de Troie dangereux Android.Triada dans le firmware d'autres modèles de smartphones Android. De plus, il y a eu d'autres cas d'infection du micrologiciel des décodeurs Android TV par de nouvelles versions du cheval de Troie Android.Vo1d, que notre société a détecté en 2024.

Au cours de l'année écoulée, le laboratoire antivirus Doctor Web a identifié un certain nombre d'applications malveillantes dangereuses. En avril, nous avons signalé le cheval de Troie Android.Spy.1292.origin, qui se cachait dans le programme de cartographie Alpine Quest modifié par des auteurs de virus et qui attaquait le personnel militaire russe. Android.Spy.1292.origin transmettait aux attaquants des données concernant le numéro de téléphone portable et les comptes, collectait les contacts du répertoire téléphonique, la géolocalisation de l'appareil infecté et des informations sur les fichiers stockés sur celui-ci. Il pouvait voler des fichiers spécifiques sur commande des attaquants. En particulier, les pirates s'intéressaient aux documents confidentiels transmis par des messagers populaires, ainsi qu'au fichier journal de géolocalisation du programme Alpine Quest.

En août, nos spécialistes ont mis en garde contre la porte dérobée Android.Backdoor.916.origin, que les attaquants dissimulaient sous l'apparence d'un programme antivirus et distribuaient par le biais de messages privés sur des applications de messagerie instantanée. Android.Backdoor.916.origin vole des informations confidentielles et permet la surveillance des utilisateurs. Cette porte dérobée visait principalement les employés d'entreprises russes.

En octobre, nous avons signalé la présence de la porte dérobée multifonctionnelle Android.Backdoor.Baohuo.1.origin, découverte par nos analystes dans des versions modifiées de l'application Telegram X. Ce logiciel malveillant est également utilisé pour dérober des données confidentielles, notamment les identifiants et mots de passe Telegram, les SMS entrants, les conversations et les données du presse-papiers. Cette porte dérobée permet aux attaquants de contrôler entièrement la messagerie et de surveiller le compte Telegram piraté de la victime. Pour contrôler la porte dérobée, les cybercriminels ont utilisé à la fois un serveur C2 et une base de données Redis, ce qui n’avait jamais été observé auparavant dans les menaces Android. Android.Backdoor.Baohuo.1.origin ciblait principalement les résidents d'Indonésie et du Brésil.

Pour en savoir plus sur la situation virale et les menaces ciblant les appareils mobiles en 2025, consultez notre rapport.

Perspectives et tendances probables

En 2026, l'une des menaces les plus courantes pour les utilisateurs restera probablement les chevaux de Troie publicitaires, que les cybercriminels utilisent pour générer des revenus illégaux. On peut s'attendre à ce que les cybercriminels utilisent de plus en plus les chevaux de Troie bancaires, qui leur permettent également de s'enrichir.

La popularité de divers outils et techniques permettant de dissimuler des activités malveillantes pourrait encore augmenter. Ces techniques incluent l'utilisation de packers et d'obfuscateurs, l'utilisation de droppers de logiciels malveillants et de chargeurs multi-étapes, ainsi que l'utilisation de la stéganographie pour dissimuler la charge utile. De plus, lors de la création de logiciels malveillants, les cybercriminels, y compris ceux ayant peu d'expérience en programmation, auront de plus en plus recours à l'aide d'assistants IA. Par conséquent, de nouvelles familles de logiciels malveillants apparaîtront et le nombre de menaces augmentera.

Les structures gouvernementales et corporatives seront à nouveau visées, ce qui entraînera de nouvelles attaques ciblées. De nouveaux cas d'infection du micrologiciel des smartphones Android, des décodeurs TV et d'autres types d'appareils mobiles sont également probables, notamment dans le segment d'entrée de gamme. Les fraudeurs sur Internet resteront actifs.

Doctor Web : rapport viral du 4eme trimestre 2025

Mon, 12 Jan 2026 12:51:34 GMT

Le 12 janvier 2026

Selon les statistiques de détection récoltées par Dr.Web Antivirus, le nombre total de menaces détectées lors du quatrième trimestre 2025 a augmenté de 16,05% par rapport au troisième trimestre. Le nombre de menaces uniques a diminué de 1,13%. Parmi les menaces les plus répandues, on voit des applications publicitaires indésirables, des scripts malveillants et divers programmes malveillants dont des téléchargeurs et des Trojans publicitaires.

Les chevaux de Troie, incluant des programmes de téléchargement, des voleurs de mots de passe et des installateurs de programmes, étaient les plus fréquemment détectés dans le trafic de messagerie. De plus, des exploits, des portes dérobées et toutes sortes de scripts malveillants ont été distribués par courrier électronique.

Les utilisateurs dont les fichiers ont été affectés par les rançongiciels ont le plus souvent rencontré Trojan.Encoder.35534, Trojan.Encoder.41868 et Trojan.Encoder.29750.

En octobre nous avons signalé l'existence d'une porte dérobée ciblant les appareils Android Android.Backdoor.Baohuo.1.origin, diffusée par des cybercriminels dans des versions modifiées de l'application Telegram X. Ce logiciel malveillant permet de voler les identifiants et mots de passe des comptes Telegram ainsi que d'autres données confidentielles. En utilisant ce malware, les auteurs de virus peuvent gérer les comptes des victimes piratées et contrôler entièrement la messagerie elle-même, en effectuant diverses actions au nom des utilisateurs.

En novembre, notre laboratoire antivirus a publié une étude sur une attaque ciblée menée par le groupe de pirates informatiques Cavalry Werewolf contre un établissement public russe. Au cours de l'examen, les experts de Doctor Web ont identifié de nombreux outils malveillants utilisés par les cybercriminels, notamment des outils open source, dans leurs campagnes. Les caractéristiques du groupe et ses actions typiques au sein des réseaux compromis ont également été examinées.

En décembre dernier, notre site web a publié un article sur le cheval de Troie unique Trojan.ChimeraWire, qui gonfle la popularité des sites web en se faisant passer pour un humain afin d'éviter d'être bloqué par la protection anti-bot des plateformes en ligne.

Le logiciel malveillant recherche de manière autonome les sites web souhaités dans les moteurs de recherche, les ouvre et clique sur des pages web en fonction des paramètres reçus des attaquants. Trojan.ChimeraWire pénètre sur les ordinateurs via plusieurs applications malveillantes qui exploitent les vulnérabilités de la classe DLL Search Order Hijacking et utilisent des techniques anti-débogage pour éviter d'être détectées.

Au cours du quatrième trimestre, les analystes de Doctor Web ont identifié de nouveaux sites web frauduleux qui promettaient aux victimes potentielles de l'argent facile et rapide.

Nos experts ont détecté de nouveaux programmes malveillants dans le catalogue Google Play. Il s'agit notamment du cheval de Troie Android.Joker, qui abonne les propriétaires d'appareils Android à des services payants, et des applications malveillantes Android.FakeApp, utilisées par les attaquants dans diverses escroqueries.

Dans le même temps, les statistiques de détection de Dr.Web Security Space pour les appareils mobiles ont montré une augmentation de l'activité des chevaux de Troie bancaires ciblant la plateforme Android.

Tendances principales du quatrième trimestre

Augmentation du nombre de menaces détectées sur les appareils protégés
Diminution du nombre de menaces uniques impliquées dans les attaques
Augmentation du nombre de demandes de déchiffrement des fichiers affectés par le rançongiciels
Activité accrue des chevaux de Troie bancaires ciblant les propriétaires d'appareils Android
Distribution de la porte dérobée Android.Backdoor.Baohuo.1.origin, qui pirate les comptes Telegram des utilisateurs Android
Apparition de nouvelles applications malveillantes sur Google Play

Données du service de statistiques de Doctor Web

Les menaces les plus répandues au cours du 4eme trimestre 2025 :

Trojan.Siggen31.34463: Cheval de Troie écrit dans le langage de programmation Go et conçu pour charger divers miners et logiciels publicitaires dans le système cible. Le malware est un fichier DLL situé dans %appdata%\utorrent\lib.dll. Pour son lancement, il exploite une vulnérabilité de la classe DLL Search Order Hijacking dans le client torrent uTorrent.
Adware.Downware.20091: Adware souvent utilisé comme outil intermédiaire de téléchargement de programmes pirates.
VBS.KeySender.7: Script malveillant qui, dans une boucle infinie, recherche des fenêtres avec les textes suivants : mode extensions, разработчика et розробника et leur envoie un événement de clic sur le bouton Échap, les forçant à fermer.
Trojan.BPlug.4268: Composant malveillant de l'extension de navigateur WinSafe. Ce composant est un script JavaScript qui affiche des publicités intrusives dans les navigateurs.
Adware.Siggen.33379: Faux bloqueur de publicités pour les navigateur web Adblock Plus, qui est installé sur le système par d'autres applications malveillantes dans le but d'afficher des publicités.

Statistiques relatives aux programmes malveillants détectés dans le trafic e-mail

Les menaces les plus répandues détectées dans le trafic e-mail au cours du 4eme trimestre 2025 :

W97M.DownLoader.2938: Famille de Trojans Downloaders qui exploitent les vulnérabilités des documents créés dans MS Office. Ils sont conçus pour télécharger d'autres logiciels malveillants sur l'ordinateur attaqué.
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4: Exploits conçus pour exploiter des vulnérabilités dans le logiciel Microsoft Office et qui permettent l'exécution du code arbitraire.
Trojan.AutoIt.1413: Version packagée d'un cheval de Troie Trojan.AutoIt.289 écrit dans le langage de script AutoIt. Cette version est distribuée dans le cadre d'un groupe de plusieurs applications malveillantes - un miner, une porte dérobée et un module d'auto-propagation. Trojan.AutoIt.289 effectue différentes actions malveillantes qui empêchent la détection de la charge « utile » principale.
JS.Phishing.791: Un script malveillant écrit en JavaScript qui crée une page web de phishing.

Rançongiciels

Par rapport au troisième trimestre, en quatrième trimestre 2025, le nombre de demandes pour le déchiffrement de fichiers touchés par les rançongiciels a augmenté de 1,15%.

Dynamique des demandes de décryptage reçues par le support technique de Doctor Web :

Les encodeurs les plus répandues au cours du 4eme trimestre 2025 :

Trojan.Encoder.35534 — 24,90% des demandes
Trojan.Encoder.41868 — 4,21% des demandes
Trojan.Encoder.29750 — 3,42% des demandes
Trojan.Encoder.26996 — 2,68% des demandes
Trojan.Encoder.30356 — 0,38% des demandes

Fraudes sur le Web

Au cours du quatrième trimestre 2025, les analystes internet de Doctor Web ont constaté l'apparition de nouveaux sites web frauduleux de type « place de marché ». Des escrocs, se faisant passer pour des plateformes de vente en ligne, proposent à leurs victimes potentielles de participer à un jeu de type « carrousel » (semblable à la roulette) leur permettant de gagner un prix. Après plusieurs tentatives, l'utilisateur « gagne », mais pour recevoir ses gains, il doit d'abord payer les frais de port, puis l'assurance, les taxes, etc. Dans certains cas, on lui dit que l'article désiré est en rupture de stock et on lui propose de l'échanger contre de l'argent. Toutefois, leur obtention est soumise à des frais. Si l'utilisateur accepte, des paiements supplémentaires lui seront demandés, notamment pour l'assurance, l'activation du compte, etc.

Voici un exemple de faux site de vente en ligne proposant un « tirage au sort ».

La base de données des sites web non recommandés et malveillants a également été mise à jour avec davantage de ressources en ligne utilisées par les escrocs où on propose des billets de théâtre inexistants. Ces sites web proposent des billets pour des spectacles populaires, souvent à des prix attractifs. Cependant, après avoir payé, les victimes ne reçoivent pas les billets souhaités et donnent en réalité leur argent à des escrocs.

Un des sites web frauduleux vendant des billets de cinéma fictifs.

D'autres sites imitant ceux de cinémas privés et proposant des billets pour des séances de cinéma ont également été découverts. Les victimes ne reçoivent jamais leurs billets après les avoir achetés sur ces sites.

Faux site web de cinéma privé

Nos spécialistes ont identifié plusieurs sites d'hameçonnage, dont de faux sites du service Steam. Des pirates les ont utilisés pour tenter d'obtenir des informations de compte utilisateur, incitant les utilisateurs à fournir leur identifiant et leur mot de passe pour s'authentifier.

Un site web d'hameçonnage imitant le véritable site web de Steam et incitant les victimes potentielles à se connecter à leur compte.

De plus, les escrocs ont une fois de plus tenté de piéger des victimes potentielles avec de faux projets d'investissement. L'un des sites web identifiés proposait aux utilisateurs russophones des États-Unis d'investir 250 $ dans un projet appelé Federal Invest et de « gagner jusqu'à 90 000 $ en trois mois ». Ce projet aurait été créé avec la participation, entre autres, de Donald Trump.

Un site web frauduleux propose de participer à un « projet d'investissement lucratif ».

Un autre site web affirmait que les utilisateurs ouzbeks pouvaient recevoir jusqu'à 15 000 000 de soms ouzbeks dès le premier mois suivant leur inscription au projet présenté, soi-disant affilié à une grande société holding.

Un site web frauduleux promettait aux résidents d'Ouzbékistan des profits importants en échange de leur participation à un « projet d'investissement ».

En savoir plus sur les sites non recommandés par Dr.Web

Logiciels malveillants et indésirables ciblant les appareils mobiles

Selon les statistiques de détection de Dr.Web Security Space pour les appareils mobiles, au quatrième trimestre 2025, les menaces Android les plus courantes, malgré une baisse d'activité, sont à nouveau les chevaux de Troie publicitaires Android.MobiDash et Android.HiddenAds. Les applications malveillantes de la famille Android.Siggen, qui offrent diverses fonctionnalités, se sont hissées à la troisième place. Au cours des trois derniers mois, l'activité des chevaux de Troie bancaires a augmenté, avec une croissance particulièrement marquée pour Android.Banker.

Le logiciel indésirable le plus répandu était Program.CloudInject modifié via le service cloud CloudInject. Parmi les logiciels potentiellement dangereux, l'activité la plus importante a été observée de la part des applications Tool.NPMod modifiées à l'aide de l'outil NP Manager. Les programmes publicitaires les plus courants se sont avérés être des modules Adware.Adpush, que les développeurs intègrent dans des programmes Android.

En octobre, Doctor Web a publié des informations concernant une porte dérobée dangereuse Android.Backdoor.Baohuo.1.origin, implantée par des pirates informatiques dans des versions modifiées de la messagerie Telegram X. Ce logiciel malveillant vole des informations confidentielles et permet aux attaquants de gérer le compte de la victime, ainsi que de contrôler directement la messagerie en modifiant sa logique de fonctionnement.

Au cours du quatrième trimestre, nos analystes antivirus ont découvert de nouvelles menaces dans le catalogue Google Play, notamment le cheval de Troie Android.Joker, qui abonne les utilisateurs à des services payants, et les logiciels malveillants utilisés à des fins frauduleuses — Android.FakeApp.

Les événements les plus importants du quatrième trimestre liés à la sécurité des appareils mobiles :

Les chevaux de Troie publicitaires restent les menaces les plus courantes pour les appareils Android.
L'activité des chevaux de Troie bancaires Android.Banker a augmenté
Une porte dérobée dangereuse Android.Backdoor.Baohuo.1.origin a été détectée dans des modifications tierces du messager Telegram X.
De nouveaux programmes malveillants ont été détectés sur Google Play.

Pour en savoir plus sur la situation virale et les menaces ayant ciblé les appareils mobiles au quatrième trimestre 2025, consultez notre Rapport.

Doctor Web : rapport viral sur les menaces pour appareils mobiles du 4eme trimestre 2025

Mon, 12 Jan 2026 01:00:00 GMT

Le 12 janvier 2026

Selon les statistiques de détection de Dr.Web Security Space pour les appareils mobiles, les logiciels malveillants les plus courants au quatrième trimestre 2025 sont les chevaux de Troie publicitaires Android.MobiDash et Android.HiddenAds. Dans le même temps, leur activité a diminué : les premiers ont été détectés sur les appareils protégés 43,24 % moins souvent, et les seconds 18,06 % moins souvent. Ils sont suivis de la famille de chevaux de Troie Android.Siggen, qui comprend des applications malveillantes aux fonctionnalités variées. Ils ont également été détectés un peu moins fréquemment soit 27,47 %.

Une hausse significative de l'activité des chevaux de Troie bancaires a également été constatée, les utilisateurs y étant confrontés 65,52 % plus fréquemment. Cette augmentation est principalement due aux membres de la famille Android.Banker. Ces logiciels malveillants interceptent les SMS contenant des codes à usage unique servant à confirmer les transactions bancaires et peuvent également imiter l'apparence de logiciels bancaires légitimes et afficher des fenêtres de phishing.

Parmi les logiciels indésirables, les plus répandus sont les programmes Android modifiés via le service CloudInject (l'antivirus Dr.Web les détecte sous le nom de Program.CloudInject). Il sert à ajouter des autorisations système dangereuses et du code obscurci aux applications, dont le fonctionnement ne peut être contrôlé. De plus, les appareils rencontraient fréquemment de faux programmes antivirus comme Program.FakeAntiVirus, qui détectent des menaces inexistantes et exigent l'achat de la version complète pour les « éliminer », ainsi que Program.FakeMoney, qui permettrait soi-disant de gagner de l'argent en accomplissant diverses tâches.

Au cours du quatrième trimestre, les logiciels potentiellement dangereux les plus répandus étaient les applications Tool.NPMod modifiées à l'aide de l'utilitaire NP Manager. Il masque le code des mods et y ajoute un module spécialisé permettant de contourner la vérification de la signature numérique après modification des applications.

Parmi les programmes publicitaires, les représentants de la famille Adware.Adpush ont gardé leur position de leader. Ce sont des modules logiciels spécifiques que les développeurs intègrent dans des logiciels pour afficher des notifications publicitaires.

En octobre, nos experts ont signalé la dangereuse porte dérobée Android.Backdoor.Baohuo.1.origin, que des attaquants ont intégrée dans des modifications non officielles de la messagerie Telegram X et qu'ils ont distribuée via des sites web malveillants et des boutiques d'applications Android tierces. Ce logiciel malveillant vole les identifiants et mots de passe des comptes Telegram, ainsi que d'autres données confidentielles. De plus, en utilisant ce malware, les cybercriminels sont en mesure de contrôler efficacement le compte de la victime et d'effectuer secrètement diverses actions dans la messagerie en son nom. Par exemple, rejoindre et quitter des chaînes Telegram, masquer les appareils nouvellement autorisés, masquer certains messages, etc. Android.Backdoor.Baohuo.1.origin est contrôlé, entre autres, par une base de données Redis, ce qui n'est pas observé auparavant dans les menaces Android. Au total, la porte dérobée a infecté environ 58 000 appareils, dont environ 3 000 modèles différents de smartphones, tablettes, décodeurs TV et voitures équipées d'ordinateurs de bord fonctionnant sous Android.

Au cours du dernier trimestre, le laboratoire antivirus de Doctor Web a identifié de nouveaux logiciels malveillants dans le catalogue Google Play, notamment le cheval de Troie Android.Joker, qui abonne les victimes à des services payants, et divers programmes contrefaits Android.FakeApp utilisés dans des schémas de fraude.

Tendances principales du quatrième trimestre

Les chevaux de Troie publicitaires restent les menaces les plus courantes ciblant Android.
Augmentation du nombre d'attaques menées par des chevaux de Troie publicitaires.
Diffusion de la dangereuse porte dérobée Android.Backdoor.Baohuo.1.origin, intégrée à des modifications de l'application Telegram X.
Apparition de nouvelles applications malveillantes sur Google Play.

Selon les données obtenues par Dr.Web Security Space pour les appareils mobiles

Android.MobiDash.7859: Trojan qui affiche des publicités intempestives. C'est un module de programme que des développeurs de logiciels intègrent dans des applications.
Android.FakeApp.1600: Cheval de Troie qui télécharge un site Web indiqué dans ses paramètres. Les modifications connues de cette application malveillante téléchargent un site Web du casino en ligne.
Android.Click.1812: Détection des mods malveillants de la messagerie WhatsApp, qui de manière invisible pour l'utilisateur peut charger différents sites en arrière-plan.
Android.Packed.57.origin: Détection de l'obfuscateur, utilisé notamment pour protéger des applications malveillantes (par exemple, certaines versions du cheval de Troie bancaire Android.SpyMax).
Android.Triada.5847: Détection d'un Trojan packer de la famille Android.Triada, conçu pour protéger les Trojans contre l'analyse et la détection. Le plus souvent, les attaquants l'utilisent en conjonction avec des mods malveillants du messager Telegram, dans lesquels ces chevaux de Troie sont directement intégrés.

Program.CloudInject.5
Program.CloudInject.1: Détection des applications Android modifiées à l'aide du service CloudInject et de l'utilitaire Android du même nom (ajouté à la base de données de virus Dr.Web sous le nom de Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant, tandis que l'utilisateur (moddeur) intéressé à les changer ne contrôle pas ce qui y sera intégré. De plus, les applications reçoivent un ensemble d'autorisations dangereuses. Après la modification, l'utilisateur qui fait du modding (moddeur) obtient la possibilité de contrôler à distance ces programmes : les bloquer, afficher des boîtes de dialogue personnalisées, suivre l'installation et la désinstallation d'autres logiciels, etc.
Program.FakeAntiVirus.1: Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète.
Program.FakeMoney.11: Applications qui permettent prétendument de gagner de l'argent en effectuant certaines actions ou tâches. Elles imitent l'accumulation de récompenses, alors que pour retirer l'argent « gagné », il faut d’abord accumuler un certain montant. Généralement, elles proposent une liste de systèmes de paiement et de banques populaires par lesquels il serait possible de transférer des récompenses. Mais même lorsque les utilisateurs parviennent à accumuler un montant suffisant pour le retrait, les paiements promis ne sont pas versés. Cette entrée de la base détecte également d'autres logiciels indésirables basés sur le code de ces programmes.
Program.SnoopPhone.1.origin: Application conçue pour surveiller les propriétaires d'appareils Android. Cette appli permet de lire les SMS, de recevoir des informations sur les appels téléphoniques, de suivre les coordonnées de l'appareil et d'effectuer un enregistrement audio de l'environnement.

Tool.NPMod.3
Tool.NPMod.1
Tool.NPMod.1.origin: Détection des applications Android modifiées à l'aide de l'utilitaire NP Manager. Ces programmes sont dotés d'un module spécialisé qui leur permet de contourner la vérification de la signature numérique après modification.
Tool.LuckyPatcher.2.origin: Utilitaire qui permet de modifier les applications Android installées (créer des correctifs pour elles) afin de changer la logique de leur fonctionnement ou de contourner certaines restrictions. Notamment, avec son aide, les utilisateurs peuvent essayer de désactiver la vérification de l'accès root dans les programmes bancaires ou obtenir des ressources illimitées dans les jeux. Pour créer des correctifs, l'utilitaire télécharge des scripts spécialement préparés sur Internet, que n'importe qui peut créer et ajouter à la base de données commune. La fonctionnalité de ces scripts peut également être malveillante, c'est pourquoi les correctifs créés peuvent constituer un danger potentiel.
Tool.Androlua.1.origin: Détection d'un certain nombre de versions potentiellement dangereuses d'un framework pour le développement de programmes Android utilisant le langage de programmation de script Lua. La logique principale des applications Lua se trouve dans les scripts correspondants, qui sont chiffrés et déchiffrés par l'interpréteur avant exécution. Souvent, ce framework demande par défaut l'accès à de nombreuses autorisations système pour fonctionner. En conséquence, les scripts Lua exécutés via celui-ci sont potentiellement capables d'effectuer diverses actions malveillantes conformément aux autorisations reçues.

Adware.AdPush.3.origin
Adware.Adpush.21846: Modules publicitaires intégrables dans les applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent ressembler aux messages du système d'exploitation. De plus, ces modules collectent un certain nombre de données confidentielles, et sont également capables de télécharger d'autres applications et d'initier leur installation.
Adware.Bastion.1.origin: Détection des programmes d'optimisation qui créent périodiquement des notifications contenant des messages trompeurs concernant une mémoire insuffisante et des erreurs système supposées, afin d'afficher des publicités pendant « l'optimisation ».
Adware.Airpush.7.origin: Modules publicitaires qui sont intégrés dans des applications Android et affichent différentes publicités. Selon leur version et modification, il peut s'agir de publicités, de pop-ups ou de bannières. A l'aide de ces modules, les pirates distribuent souvent des malwares en proposant d'installer des applications. De plus, de tels modules transmettent diverses informations confidentielles à un serveur distant.
Adware.ModAd.1: Certaines versions modifiées (mods) du messenger WhatsApp, dont la fonction comprend un code inséré qui assure le téléchargement de liens indiqués via l'affichage Web lors de l'utilisation du messenger. Ces adresses Internet sont utilisées pour rediriger les internautes vers des sites annoncés dans la publicité, par exemple, des casinos en ligne et des bookmakers, des sites pour adultes.

Menaces sur Google Play

Au cours du quatrième trimestre 2025, les analystes de virus de Doctor Web ont enregistré l'apparition de plus de deux douzaines d'applications malveillantes Android.Joker dans le catalogue Google Play, conçues pour inciter les utilisateurs à s'abonner à des services payants. Les attaquants les ont dissimulés sous l'apparence de divers logiciels : messageries instantanées, utilitaires d'optimisation système, éditeurs graphiques et programmes de visionnage de films.

Exemples des programmes malveillants détectés Android.Joker. Android.Joker.2496 a été déguisé en outil Useful Cleaner pour nettoyer des fichiers inutiles sur les téléphones, et l'une des modifications d'Android.Joker.2495 a été déguisée en lecteur de films Reel Drama.

Nos experts ont également identifié quelques nouveaux programmes contrefaits de la famille Android.FakeApp. Comme auparavant, certains d’entre eux ont été diffusés sous couvert d'applications financières et hébergés sur des sites web frauduleux. D'autres contrefaçons étaient présentées comme des jeux. Dans certaines conditions (par exemple, si l'adresse IP de l'utilisateur répondait aux exigences des attaquants), ils pouvaient télécharger des sites web de bookmakers et de casinos en ligne.

Le jeu Chicken Road Fun était un faux programme Android.FakeApp.1910 et, au lieu de fournir la fonctionnalité attendue par l'utilisateur, il pouvait télécharger un site Web de casino en ligne.

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.

Indicateurs de compromission

Mise à jour du Сontrat de licence du produit Dr.Web FixIt!

Mon, 29 Dec 2025 14:38:25 GMT

Nous avons actualisé le Сontrat de licence du produit Dr.Web FixIt! Vous pouvez consulter le document mis à jour sur le lien https://license.drweb.com/agreement

Dr.Web FixIt! est un outil conçu pour l'analyse détaillée de la sécurité des postes de travail et des serveurs fonctionnant sous Windows et pour la neutralisation des menaces virales identifiées et des vulnérabilités potentielles. Son principal avantage réside dans sa capacité à détecter les logiciels malveillants et les programmes les plus récents utilisés pour les attaques ciblées, qui ne sont pas détectés par d'autres outils de cybersécurité.

Dr.Web FixIt! est principalement conçu pour les spécialistes qui surveillent la sécurité des infrastructures informatiques et analysent les incidents de cybersécurité.

Toutefois, même si une entreprise ne dispose pas d'une équipe SOC dédiée, la solution est capable à la fois de diagnostiquer une menace sur un poste de travail et/ou un serveur et d'effectuer un traitement après détection.
Si nécessaire, les spécialistes de Doctor Web vous aideront à analyser les informations reçues via le service Dr.Web FixIt! Pour cela, vous devrez acheter un certificat de suivi experts de la tâche.

Vous pouvez acheter la solution auprès des partenaires de Doctor Web.

Trojan ChimeraWire : un malware qui simule des clics d’utilisateurs pour booster les sites dans Google

Mon, 29 Dec 2025 11:42:13 GMT

le 29 décembre 2025

Introduction

Lors de l'examen d'un programme partenaire, les experts de Doctor Web ont découvert un logiciel malveillant unique doté d’une fonctionnalité de clicker qui a reçu le nom de Trojan.ChimeraWire. Ce logiciel fonctionne sur les ordinateurs sous Windows et est basé sur les projets open source zlsgo et Rod, destinés à la gestion automatique des sites et des applications web.

Trojan.ChimeraWire permet aux attaquants d'imiter des actions d'utilisateurs et de manipuler les facteurs comportementaux des sites web, augmentant ainsi artificiellement leur classement dans les résultats des moteurs de recherche. Pour ce faire, le logiciel malveillant recherche les ressources Internet nécessaires dans les systèmes Google et Bing, puis les ouvre. Il imite également les actions de l'utilisateur en cliquant automatiquement sur les liens publiés sur des sites web téléchargés. Le cheval de Troie exécute toutes ses actions malveillantes via le navigateur Google Chrome, qu'il télécharge à partir d'une ressource spécifique et exécute en mode débogage caché via le protocole WebSocket.

Trojan.ChimeraWire s'introduit sur les ordinateurs suite à l'action de plusieurs programmes de téléchargement malveillants. Ils utilisent diverses techniques d'élévation de privilèges basées sur l'exploitation de vulnérabilités de la classe DLL Search Order Hijacking, ainsi que des techniques anti-débogage pour éviter d'être détectés. Notre laboratoire antivirus a identifié au moins deux chaînes d'infection les impliquant. Le script malveillant Python.Downloader.208 occupe la place principale dans l'une de ces chaînes, et le programme malveillant Trojan.DownLoader48.61444 — dans la deuxième, dont le principe de fonctionnement est similaire à celui de Python.Downloader.208 et il agit ainsi comme son alternative.

Dans cette étude nous allons envisager les caractéristiques de Trojan.ChimeraWire et des programmes malveillants qui livrent ce malware sur les appareils d'utilisateurs.

Première chaîne de contamination

Le schéma qui illustre la première chaîne de contamination

La première chaîne de contamination commence par le Trojan Trojan.DownLoader48.54600. Il vérifie s'il s'exécute dans un environnement simulé, et s'arrête s'il détecte des signes d'une machine virtuelle ou d'un mode débogage. S'il n'en trouve pas, le Trojan télécharge à partir d'un serveur C2 l'archive ZIP python3.zip. Cette archive contient le script Python malveillant Python.Downloader.208, ainsi que des fichiers auxiliaires nécessaires pour son fonctionnement, dont la bibliothèque malveillante ISCSIEXE.dll (Trojan.Starter.8377). Trojan.DownLoader48.54600 déballe l'archive et lance le script. Ce script représente la deuxième étape de contamination ; c'est un programme de téléchargement qui télécharge l'étape suivante depuis le serveur C2.

Le comportement de Python.Downloader.208 dépend des droits dont il dispose au démarrage. Si le script est lancé sans droits d'administrateur, il tente de les obtenir. Pour ce faire, le Trojan extrait également de l'archive Trojan.Starter.8377 et le copie dans le répertoire %LOCALAPPDATA%\Microsoft\WindowsApps. De plus, le script runs.vbs est créé. Ce script sera utilisé plus tard pour le prochain lancement de Python.Downloader.208.

Ensuite Python.Downloader.208 lance l'application système %SystemRoot%\SysWOW64\iscsicpl.exe. En raison de la présence d'une vulnérabilité de la classe DLL Search Order Hijacking, cette appli télécharge automatiquement la bibliothèque de Trojan ISCSIEXE.dll, dont le nom coïncide avec le nom du composant légitime du système d'exploitation Windows.

À son tour, Trojan.Starter.8377 lance le script VBS runs.vbs, qui réexécute Python.Downloader.208 – cette fois avec les droits d'administrateur.

Lorsqu'il est exécuté avec les privilèges requis, Python.Downloader.208 télécharge depuis le serveur C2 une archive protégée par mot de passe onedrive.zip. Il contient la prochaine étape de contamination — le logiciel malveillant Trojan.DownLoader48.54318 sous forme d'une bibliothèque nommée UpdateRingSettings.dll — et les fichiers auxiliaires nécessaires à son fonctionnement (par exemple, l'application légitime OneDrivePatcher.exe du système d'exploitation Windows avec une signature numérique valide, liée au logiciel OneDrive).

Après avoir décompressé l'archive, Python.Downloader.208 crée une tâche dans le planificateur système pour lancer le programme OneDrivePatcher.exe au démarrage de l'OS.

Ensuite il lance cette application. En raison de la présence de la vulnérabilité DLL Search Order Hijacking elle télécharge automatiquement la bibliothèque UpdateRingSettings.dll, dont le nom coïncide avec le nom du composant du logiciel OneDrive.

Une fois que Trojan.DownLoader48.54318 a pris le contrôle, il vérifie s'il s'exécute dans un environnement artificiel. Dès qu'il détecte un signe de fonctionnement dans une machine virtuelle ou en mode débogage, il s'arrête.

Si de tels signes ne sont pas détectés, la bibliothèque du cheval de Troie tente de télécharger une charge utile depuis le serveur C2, ainsi que les clés de chiffrement permettant de la déchiffrer.

La charge utile déchiffrée est un conteneur ZLIB contenant du shellcode et un fichier exécutable. Après avoir déchiffré le conteneur, Trojan.DownLoader48.54318 tente de le déballer. Si la tentative échoue, le Trojan se supprime et le processus termine. En cas de succès, le contrôle est transféré au shellcode, dont la tâche consiste à décompresser le fichier exécutable qui y est inclus. Ce fichier représente l'étape finale de la contamination : le cheval de Troie cible Trojan.ChimeraWire.

Deuxième chaîne de contamination

La deuxième chaîne commence par le programme malveillant Trojan.DownLoader48.61444. Lors de son lancement, il vérifie les droits d'administrateur et, le cas échéant, tente de les obtenir.

Le cheval de Troie utilise la technique de masquage Masquerade PEB pour contourner les systèmes de sécurité en se faisant passer pour le processus légitime explorer.exe.

Il introduit ensuite un patch pour corriger la copie de la bibliothèque système %SystemRoot%\System32\ATL.dll. Pour ce faire, Trojan.DownLoader48.61444 lit son contenu, ajoute à la bibliothèque le bytecode déchiffré et le chemin vers son fichier, puis enregistre la version modifiée en tant que fichier dropper dans le même répertoire où il se trouve.

Le cheval de Troie initialise ensuite les objets du modèle COM (Component Object Model) du shell Windows pour le service %SystemRoot%\System32\wbem et la bibliothèque modifiée.

Si l'initialisation réussit, Trojan.DownLoader48.61444 tente d'obtenir des privilèges d'administrateur en utilisant l'interface COM CMSTPLUA, et en exploitant une vulnérabilité commune à certaines interfaces COM anciennes.

En cas de succès, la bibliothèque modifiée dropper est copiée vers le répertoire %SystemRoot%\System32\wbem sous forme de fichier ATL.dll. Puis le Trojan Trojan.DownLoader48.61444 lance le composant système de gestion WMI WmiMgmt.msc. En conséquence, la vulnérabilité DLL Search Order Hijacking est exploitée dans l'application système mmc.exe, qui charge automatiquement la bibliothèque %SystemRoot%\System32\wbem\ATL.dll avec un correctif.

Elle, à son tour, relance ensuite Trojan.DownLoader48.61444, mais cette fois avec les droits d'administrateur.

Le schéma du fonctionnement de Trojan.DownLoader48.61444 sans droits d'administrateur

Lorsqu'il est exécuté en tant qu'administrateur, Trojan.DownLoader48.61444 exécute plusieurs scripts PowerShell pour télécharger la charge utile depuis le serveur C2. L'un des objets téléchargés est l'archive zip one.zip. Il contient des fichiers similaires à ceux de l'archive onedrive.zipde la première chaîne (en particulier, le programme légitime OneDrivePatcher.exe et la bibliothèque malveillante UpdateRingSettings.dll — Trojan.DownLoader48.54318).

Trojan.DownLoader48.61444 décompresse l'archive et crée une tâche dans le planificateur système pour démarrer automatiquement OneDrivePatcher.exe au démarrage du système.

Le Trojan lance également cette application. Tout comme dans la première chaîne, lorsqu'il est lancé, dans OneDrivePatcher.exe, la vulnérabilité DLL Search Order Hijacking est exploitée et le téléchargement de la bibliothèque de Trojan UpdateRingSettings.dll est effectué automatiquement. La chaîne de contamination se répète alors selon le premier scénario.

Dans le même temps, Trojan.DownLoader48.61444 télécharge la deuxième archive ZIP : two.zip. Elle contient le script malveillant Python.Downloader.208 (update.py), ainsi que les fichiers nécessaires à son lancement. Parmi eux se trouve Guardian.exe — un interpréteur de console renommé du langage Python pythonw.exe.

Une fois l'archive décompressée, Trojan.DownLoader48.61444 crée une tâche dans le planificateur système pour démarrer automatiquement Guardian.exe au démarrage du système. De plus, en utilisant cette application, il exécute le script malveillant Python.Downloader.208.

En reproduisant partiellement la première chaîne de contamination, les attaquants ont apparemment cherché à augmenter la probabilité de réussir le téléchargement du cheval de Troie Trojan.ChimeraWire sur les systèmes cibles.

Le schéma du fonctionnement de Trojan.DownLoader48.61444 avec les droits d'administrateur

Trojan.ChimeraWire

Trojan.ChimeraWire tire son nom de la combinaison des mots « chimère » ("chimera" en anglais, une créature mythologique composée de parties du corps de différents animaux) et «wire» ( « fil » en anglais). Le mot
« chimère » décrit la nature hybride des techniques des attaquants : l'utilisation de chevaux de Troie téléchargeurs écrits dans différents langages, ainsi que des techniques anti-débogage et d'élévation de privilèges pendant le processus d'infection.
De plus, cela reflète le fait que le cheval de Troie est une combinaison de divers frameworks, plugins et logiciels légitimes par lesquels un contrôle caché du trafic est effectué.
C’est de là que vient le deuxième mot, « wire » : il fait référence au travail invisible et malveillant du cheval de Troie sur le réseau.

Une fois pénétré sur l'ordinateur cible, Trojan.ChimeraWire télécharge depuis un site tiers l'archive ZIP chrome-win.zip avec le navigateur Google Chrome pour Windows. Il convient de noter que cette ressource stocke également des archives de versions de Google Chrome pour d'autres systèmes, tels que Linux et macOS, y compris celles pour diverses plateformes matérielles.

Le site web proposant différentes versions du navigateur Google Chrome, à partir duquel le cheval de Troie télécharge l'archive nécessaire.

Après avoir téléchargé le navigateur, Trojan.ChimeraWire tente d'installer discrètement les extensions NopeCHA et Buster, conçues pour la reconnaissance automatisée des captchas. Ces extensions seront utilisées par le cheval de Troie lors de son exécution.

Il lance ensuite le navigateur en mode débogage sans fenêtre visible, ce qui lui permet de mener des activités malveillantes sans attirer l'attention de l'utilisateur. Ensuite, une connexion est établie au port de débogage sélectionné automatiquement via le protocole WebSocket.

Le cheval de Troie commence alors à recevoir des tâches. Il envoie une requête au serveur C2 et reçoit en réponse une chaîne de caractères base64 contenant une configuration chiffrée avec l'algorithme AES-GCM au format JSON.

Voici un exemple de configuration envoyée au cheval de Troie par le serveur C2.

Il contient des tâches et leurs paramètres associés :

moteur de recherche cible (Google et Bing sont pris en charge) ;
mots clés pour la recherche de sites dans un moteur de recherche donné et leur ouverture ultérieure ;
nombre maximal de clics consécutifs sur les pages web ;
distribution aléatoire des clics automatisés sur les pages web ;
délai d’attente avant le chargement de la page ;
domaines cibles.

Pour mieux simuler l’activité humaine réelle et contourner les systèmes de suivi d’activité continue, la configuration inclut également des paramètres pour les pauses entre les sessions de travail.

Simulation des clics de souris de l'utilisateur

Trojan.ChimeraWire est capable d'effectuer les types de clics suivants :

naviguer dans les résultats de recherche ;
ouvrir les liens pertinents trouvés dans de nouveaux onglets en arrière-plan.

Trojan.ChimeraWire commence par rechercher des sites web à l'aide du moteur de recherche spécifié, en se basant sur les domaines et les mots-clés définis dans la configuration.

Il ouvre ensuite les sites web trouvés dans les résultats de recherche et repère tous les éléments HTML définissant des liens hypertextes. Le cheval de Troie les place dans un tableau de données et les mélange de sorte que les objets qui s'y trouvent soient disposés dans une séquence différente de celle de la page web. Cette méthode permet de contourner les systèmes de protection anti-bots des sites web, capables de suivre l'ordre des clics.

Trojan.ChimeraWire vérifie ensuite si les liens trouvés sont fonctionnels et si les chaînes de caractères qu'ils contiennent correspondent au modèle de configuration spécifié, puis il compte le nombre total de correspondances.

Les actions ultérieures du cheval de Troie dépendent de ce nombre. Si un nombre suffisant de liens correspondants est trouvé sur la page, Trojan.ChimeraWire analyse la page et trie les liens trouvés par pertinence (les liens qui correspondent le mieux aux mots-clés apparaissent en premier). Ensuite, un ou plusieurs liens correspondants sont cliqués.

Si le nombre de correspondances avec le modèle spécifié est insuffisant ou qu'il n'y a pas de correspondances, le logiciel malveillant utilise un algorithme doté d'un modèle de comportement probabiliste qui imite de près les actions d'un véritable utilisateur.

En fonction des paramètres de configuration, Trojan.ChimeraWire utilise une distribution aléatoire pondérée pour déterminer le nombre de liens à suivre. Par exemple, la distribution ["1:90", "2:10"] signifie que Trojan.ChimeraWire cliquera sur 1 lien avec la probabilité de 90 % et sur 2 liens avec la probabilité de 20 %. Ainsi, le logiciel malveillant est très susceptible de cliquer sur un seul lien.

Le cheval de Troie sélectionne aléatoirement un lien dans un tableau préalablement compilé et clique dessus.

Après chaque clic sur un lien provenant d'un résultat de recherche ou sur une page chargée, le cheval de Troie, revient à l'onglet précédent ou passe au suivant, selon la tâche. La séquence d'actions se répète jusqu'à ce que la limite de clics pour les sites web cibles soit atteinte.

Vous trouverez ci-dessous des exemples de sites web dont les paramètres d'interaction ont été envoyés au cheval de Troie via des tâches du serveur C2 :

Des descriptions techniques détaillées du cheval de Troie ChimeraWire et des logiciels malveillants impliqués dans son téléchargement sont disponibles dans la version PDF de l'étude et dans la bibliothèque de virus de Doctor Web.

Plus d'info sur Trojan.ChimeraWire
Plus d'info sur Trojan.DownLoader48.54600
Plus d'info sur Trojan.Starter.8377
Plus d'info sur Python.Downloader.208
Plus d'info sur Trojan.DownLoader48.54318
Plus d'info sur Trojan.DownLoader48.61444

Conclusion

Actuellement, l'activité malveillante de Trojan.ChimeraWire se résume essentiellement à effectuer des tâches de clic relativement simples pour gonfler la popularité de sites web. Dans le même temps, les fonctionnalités des utilitaires qui constituent la base du Trojan permettent au cheval de Troie d'effectuer un plus large éventail de tâches, y compris des actions automatisées sous couvert d'une véritable activité utilisateur. Notamment, il peut être utilisé par des attaquants pour remplir des formulaires web, comme ceux présents sur les sites web qui réalisent des enquêtes à des fins publicitaires. De plus, ils peuvent l'utiliser pour lire le contenu des pages web et en faire des captures d'écran, à la fois à des fins de cyberespionnage et pour la collecte automatique d'informations afin d'alimenter diverses bases de données (par exemple, avec des adresses postales, des numéros de téléphone, etc.).

Ainsi, de nouvelles versions de Trojan.ChimeraWire pourraient apparaître à l'avenir, dans lesquelles ces fonctions et d'autres seront pleinement implémentées. Les analystes de Doctor Web continuent à surveiller la situation liée à ce Trojan.

Matrice MITRE

Étape	Technique
Exécution	Exécution assistée par l'utilisateur (T1204) Fichier malveillant (T1204.002) Bibliothèque malveillante (T1204.005) PowerShell (T1059.001) Invite de commandes Windows (T1059.003) Visual Basic (T1059.005) Python (T1059.006) Planificateur de tâches Windows (T1053.005)
Épinglage	Clés de démarrage dans le Registre Windows / Répertoire de démarrage (T1547.001) Tâche planifiée / tâche (T1053)
Élévation de privilèges	Détournement de flux : Détournement de recherche de DLL (T1574.001) Contournement du contrôle de compte d'utilisateur (T1548.002)
Évitement de la détection	Fichier chiffré/codé (T1027.013) Évasion du débogage (T1622) Fenêtre cachée (T1564.003) Exceptions de fichier ou de chemin (T1564.012) Désobfuscation/décodage de fichiers ou de données (T1140) Détournement de flux d'exécution : détournement de recherche de DLL (T1574.001)
Organisation de la gestion	Communication bidirectionnelle (T1102.002) Protocoles Web (T1071.001)

Indicateurs de compromission

Black Friday : 25 % de remise sur la protection complète Dr.Web

Fri, 21 Nov 2025 06:58:43 GMT

Du 21 au 28 novembre 2025, profitez d’une remise de 25% sur la protection antivirus pour les ordinateurs et les appareils mobiles

La saison des soldes n’est pas seulement synonyme de bonnes affaires : c’est aussi une période propice à l'activité des cybercriminels. Les attaques de phishing, les applications malveillantes et les tentatives de vol de données de paiement se multiplient.
Avec les solutions Dr.Web, restez protégé et naviguez en toute sécurité !

La promotion s'applique à :

Dr.Web Security Space — protection des ordinateurs personnels

bloque les logiciels malveillants et les logiciels espions
protège les paiements en ligne et les données sensibles
filtre les e-mails d'hameçonnage et met en garde contre les sites frauduleux
ne ralentit pas les appareils

Dr.Web Security Space pour les appareils mobiles — protection des appareils mobiles, des tablettes, des Smart TV et des consoles de jeux

protège en permanence contre tous les types de logiciels malveillants
bloque les appels indésirables et le spam via SMS
assure la sécurité des données personnelles, transactions bancaires, achats et paiements en ligne

Période de la promotion : 21 novembre — 28 novembre 2025
Acheter avec 25% de remise

* Sans obligation d'achat

Dr.Web CureIt! détecte désormais les menaces que les logiciels malveillants tentent de dissimuler

Thu, 20 Nov 2025 08:00:25 GMT

Doctor Web a sorti une mise à jour pour l'utilitaire gratuit Dr.Web CureIt!, lui donnant une fonctionnalité unique — la possibilité d'analyser les fichiers et les dossiers inclus par les auteurs de virus dans la liste des exclusions de programmes antivirus. Il s'agit d'une étape sérieuse dans la lutte contre les menaces complexes qui désactivent délibérément les systèmes de protection pour assurer leur activité sans entrave dans le système.

La nouvelle fonctionnalité est le résultat direct du fonctionnement réussi de notre autre solution - Dr.Web FixIt!, utilisé par les spécialistes de la société pour enquêter sur les incidents et traiter les infections complexes. De nombreux programmes malveillants, une fois sur l'ordinateur, tentent tout d'abord d'ajouter leurs propres fichiers exécutables à la liste des exceptions de l’antivirus, ce qui rend le système vulnérable : les logiciels antivirus, trompés, ignorent alors ces objets malveillants, permettant aux attaquants de voler des données, de crypter des fichiers ou d'utiliser des ressources informatiques dans des botnets.

Nouvelle fonctionnalité, comment ça marche :

Au démarrage de l'analyse, Dr.Web CureIt! lit et analyse automatiquement les listes d'exceptions de l'antivirus installé ou intégré.
Tous les fichiers et dossiers trouvés dans ces listes sont scannés en profondeur à l'aide du noyau antivirus Dr.Web.
Si un objet malveillant est détecté dans les exceptions, Dr.Web CureIt! en informe l'utilisateur et supprime la menace.

Cette innovation est essentielle pour les utilisateurs non expérimentés qui ignorent souvent que leur système de sécurité a été compromis. Maintenant, même si le virus tente de rester invisible, Dr.Web CureIt! sera en mesure de le détecter et de le neutraliser.

Perspectives : assistance experte en urgence pour Linux

Sur la base de l'expérience réussie d'utilisation du service Dr.Web FixIt! pour Windows, Doctor Web se prépare également à publier une version complète du service pour Linux, qui vise à aider les spécialistes de la sécurité informatique à enquêter sur les cyberattaques sur l'infrastructure de l'entreprise.
Vous pouvez désormais utiliser Dr.Web FixIt! pour Linux pour envoyer des informations sur le système à notre support technique. L'utilitaire se trouve maintenant sur une nouvelle page - https://free.drweb.fr/sysinfo/
À l'avenir, les développements obtenus dans cette version permettront de créer l'utilitaire Dr.Web CureIt! pour les utilisateurs ordinaires, qui pourront rapidement vérifier et nettoyer leurs PC Linux des effets de l'infection.

Vous pouvez télécharger gratuitement la version actualisée de Dr.Web CureIt ! * sur le site officiel : https://free.drweb.fr/download+cureit+free/

*Gratuit pour un usage personnel uniquement.

Version actualisée de Dr.Web pour les appareils mobiles dotée d'un système de protection intelligent

Fri, 07 Nov 2025 09:00:00 GMT

La nouvelle version des produits antivirus pour la protection des smartphones, tablettes et autres appareils basés sur Android est désormais disponible. Les principales améliorations concernent l'automatisation de la protection et la stabilité du fonctionnement.

Ce qui distingue cette version

Une nouvelle fonctionnalité de traitement automatique des menaces qui permet aux solutions Dr.Web de supprimer les objets malveillants, de bloquer les liens suspects ou d'isoler les applications potentiellement dangereuses sans délai et sans intervention manuelle de l'utilisateur.

Qu’est-ce que cela signifie pour les utilisateurs ?

Maintenant, les utilisateurs d'appareils personnels n'ont pas besoin de surveiller toutes les notifications de menaces comme auparavant, car il est possible d'éliminer complètement la réaction manuelle. Cela permet de s'assurer que la réponse du produit antivirus ne dépend pas de la réponse de l'utilisateur aux notifications du système concernant les menaces détectées et les actions à appliquer. Le système intelligent développé par les spécialistes de Doctor Web élimine indépendamment les menaces en temps réel conformément aux paramètres spécifiés pour répondre à certains types de logiciels malveillants.
Cette solution sera particulièrement appréciée des utilisateurs business. La suppression automatique des objets malveillants, le blocage des liens suspects et de nombreuses autres actions s’effectuent instantanément, sans intervention directe des administrateurs. La fonction est également prise en charge par le Centre de gestion.

Une administration encore plus ergonomique

Cette mise à jour ajoute une possibilité de gérer de manière centralisée les actions des composants Scanner et SpIDer Guard en cas de détection de divers types de menaces sur les appareils exécutant Android OS. Désormais, l'administrateur peut définir comment l'agent Dr.Web répondra aux menaces — notifier, supprimer ou ignorer en fonction de la catégorie.

Avis important !

À partir de la nouvelle version, la prise en charge d'Android OS en version 4.4 est arrêtée. Veuillez le noter lors de la mise à jour.
Si vous utilisez la version Dr.Web Security Space pour les appareils mobiles téléchargée sur le site officiel de Doctor Web, vous devez réinstaller complètement l'application afin de la mettre à jour — téléchargez la dernière version de l'agent et installez-la.
Pour les utilisateurs de Dr.Web Security Space pour les appareils mobiles qui ont téléchargé l'application à partir de Google Play, et qui utilisent Dr.Web sur abonnement ou Dr.Web Mobile Security Suite, la mise à jour sera effectuée selon la procédure standard.

Mise à jour des serveurs de gestion centralisée Dr.Web Enterprise Security Suite et Dr.Web Industrial

Fri, 07 Nov 2025 09:00:00 GMT

Une mise à jour des serveurs de gestion centralisée Dr.Web Enterprise Security Suite et Dr.Web Industrial a été publiée. La nouvelle version comprend des améliorations de stabilité et de nouveaux outils pour une gestion centralisée des actions lorsque des menaces sont détectées sur les appareils Android. Pour profiter de tous les avantages et du bon fonctionnement du système, les utilisateurs sont invités à mettre à niveau les serveurs vers la dernière version.

La nouvelle version du serveur Dr.Web Enterprise Security Suite met en œuvre des changements visant à améliorer la facilité de gestion du système de protection. De plus, des modifications ont été apportées au produit concernant la protection des appareils mobiles fonctionnant sous Android OS, ce qui offre un contrôle complet de la protection antivirus par le Centre de gestion.

Les paramètres précédemment appelés « Détecter les adwares » et « Détecter les programmes potentiellement dangereux » ont été remplacés par un nouveau mécanisme de sélection des actions. Si ces vérifications étaient désactivées avant la mise à jour, l’action « Ignorer » sera désormais appliquée par défaut aux programmes correspondants. Dans les autres cas, l'action « Notifier » sera utilisée.

Important pour les utilisateurs

Pour profiter de toutes les fonctionnalités de la nouvelle version et assurer le bon fonctionnement des composants de protection, il est nécessaire de mettre à jour les serveurs de gestion centralisés vers la dernière version.
La mise à jour est disponible en téléchargement via l'interface Web de la console de gestion.
En cas de questions sur la configuration ou la planification de la mise à jour, les administrateurs de réseaux antivirus peuvent contacter le support technique pour obtenir des conseils.

Les solutions Dr.Web sont compatibles avec toutes les versions de Windows, à partir de Windows XP

Thu, 30 Oct 2025 13:08:05 GMT

Dans le cadre de l'annonce officielle par Microsoft de la fin du support du système d'exploitation Windows 10 depuis le 14 octobre 2025, Doctor Web informe ses utilisateurs et partenaires de ce qui suit.

Prise en charge des produits Dr.Web basés sur Windows 10
Toutes les versions des solutions Dr.Web sont actuellement entièrement compatibles avec le système d'exploitation Windows 10.
Nous confirmons que :

Le support technique et les mises à jour des bases de données antivirus Dr.Web et des composants logiciels se poursuivent normalement ;
Après la fin du support de Microsoft, Doctor Web continuera à assurer la compatibilité de ses produits avec Windows 10 — dans la mesure où cela restera possible et conforme aux exigences de sécurité.

Support à long terme pour toutes les versions à partir de Windows XP
Malgré la fin du support officiel pour de nombreuses versions de Windows, elles sont toujours activement utilisées dans des infrastructures individuelles — y compris dans l'industrie, les systèmes de contrôle automatisés et les environnements d'entreprise spécialisés.
Tenant compte des besoins de ces utilisateurs, Doctor Web continue d’assurer le support de toutes les versions du système d'exploitation, à partir de Windows XP, dans les versions actuelles des solutions Dr.Web destinée à la protection des postes de travail.

! Attention : l'utilisation de versions obsolètes du système d'exploitation présente certains risques.

Absence de mises à jour de sécurité : les vulnérabilités ne sont plus corrigées, ce qui expose les systèmes à des attaques.
Incompatibilité avec les logiciels récents : navigateurs, pilotes, et autres applications modernes peuvent ne plus fonctionner correctement.
Risque accru de compromission : de nombreux exploits pour les anciens systèmes d'exploitation sont disponibles dans les sources ouvertes, et les attaques exploitant des protocoles obsolètes (tels que SMBv1, TLS 1.0, etc.) restent courantes.

Même si les processus business de votre entreprise dépendent de manière critique de ces systèmes, il est fortement recommandé de prévoir de migrer vers des systèmes d'exploitation modernes qui fournissent des mises à jour de sécurité.
Pour la période d'utilisation des versions de système d'exploitation obsolètes, il est essentiel d'isoler les nœuds contenant des données de système d'exploitation d'Internet et des principaux segments d'entreprise du réseau à l'aide de VLAN, de DMZ ou de pare-feu, et de soumettre tout échange de données avec ces systèmes à une vérification rigoureuse afin de détecter tout contenu malveillant.

L'attaque ClickFix, comment ça marche ?

Fri, 24 Oct 2025 09:52:06 GMT

Les utilisateurs du monde entier sont alarmés par la vague croissante d'attaques ClickFix. Il s'agit d'un type d'ingénierie sociale dans lequel les attaquants incitent l'utilisateur à exécuter du code malveillant sur l'appareil.

L'attaque commence par une visite sur un site piraté ou faux, où un avertissement est affiché : par exemple, que la page est affichée de manière incorrecte, qu'une erreur s'est produite dans le navigateur ou qu'une mise à jour est requise.
Un bouton « Corriger », « Vérifier » ou « Mettre à jour » apparaît à l'écran. Lorsqu'il apparaît, un code malveillant est copié dans le presse-papiers, il n'est même pas nécessaire de cliquer sur le bouton — la copie est automatique. L'utilisateur est ensuite invité à coller ce code dans une invite de commandes ou une fenêtre en cliquant sur "Exécuter". Dès qu'il le fait, le programme malveillant démarre et s'installe, souvent sans la participation d'un antivirus, car les actions proviennent de l'utilisateur lui-même.

Ci-dessous une simulation d'une attaque ClickFix simplifiée

Lors du lancement et de l'affichage du contenu dans le navigateur, un avertissement apparaît de manière inattendue pour l'utilisateur et lui dit que quelque chose s'est mal passé avec l'affichage du contenu de la page, et des erreurs sont associées à une mise à jour récente du navigateur.

Pour remédier au problème, l'utilisateur est invité à effectuer un certain nombre de manipulations pour corriger ce problème :

Appuyer sur le bouton de correction "Fix it !" ;
Cliquer avec le bouton droit de la souris sur l'icône Windows ;
Dans la liste, sélectionner Windows PowerShell avec les droits d'administrateur ;
Cliquer avec le bouton droit de la souris pour coller le code et l'exécuter.

Lorsqu'il appuie sur le bouton dans le navigateur, un script exécutable malveillant est copié inaperçu par l'utilisateur, suivi de son insertion dans le terminal PowerShell et de son exécution :

Le script crée une connexion à distance à l'infrastructure C2 qui permet aux attaquants de contrôler à distance les systèmes compromis.
Dans ce cas, une connexion est créée avec un hôte distant C2, une charge utile est téléchargée sous la forme d'un fichier exécutable sur l'hôte de l'utilisateur, qui est conçu pour modifier le fichier hosts, et le mécanisme de son activation est lancé, suivi de l'achèvement du script.
Au stade du lancement d'un fichier malveillant, les solutions Dr.Web le détectent à l'aide d'un système de protection préventive.
Une autre variante courante de l'attaque ClickFix imite le captcha. Un contrôle prétendument légitime apparaît à l'écran, et en arrière-plan, un code malveillant est copié dans le presse-papiers. Un tel masquage augmente la probabilité d'une attaque réussie, forçant les utilisateurs à interagir involontairement avec du contenu malveillant et à penser en même temps qu'ils confirment tout simplement qu'ils ne sont pas des robots.

Ensuite, des instructions pour exécuter le code apparaissent.

Si l'utilisateur suit toutes les étapes, cela donne à l'attaquant un accès à distance à l'appareil : l'utilisateur exécute accidentellement un script malveillant.

Pourquoi est-il difficile de détecter une attaque ClickFix

Lorsque l'utilisateur clique sur un bouton sur un site malveillant, l'antivirus ne voit pas encore de menace. Cela est dû au fait qu'à la première étape, toutes les actions semblent tout à fait légitimes : l'utilisateur copie lui-même les commandes, les insère et les exécute lui-même — comme s'il effectuait les opérations système habituelles.
La détection se produit plus tard — lorsqu'un fichier malveillant est lancé ou que du code tente de s'intégrer dans d'autres processus du système. C'est à ce stade que l'antivirus reconnaît la menace et la neutralise. En d'autres mots, la protection est déclenchée au stade dit post-opératoire, lorsque le logiciel malveillant commence des actions actives : interfère avec les processus protégés ou se comporte de manière inhabituelle.
À ce moment-là, l'attaquant s'est généralement déjà connecté au système de la victime. Cela signifie que la charge malveillante principale (charge utile) est livrée et qu'elle peut être déguisée en processus normaux.
À ce stade, l'attaquant est capable d’effectuer les actions suivantes :

approfondir sa présence dans le système (obtenir plus de droits),
collecter des données,
naviguer sur le réseau,
tenter de désactiver la protection antivirus.

De plus, des logiciels malveillants peuvent être cryptés ou intriqués (obscurcis), ce qui les rend moins visibles pour les mécanismes de sécurité standard.

Pourquoi il est important d'agir le plus tôt possible

Dans ce contexte, il devient particulièrement important non seulement de répondre à la menace après son lancement, mais aussi d'empêcher l'intrus de se connecter au système. Pour ce faire, les méthodes suivantes peuvent être utilisées :

vérifier le contenu du presse-papiers si des messages suspects avec des commandes apparaissent dans le navigateur (par exemple, PowerShell),
analyser le trafic réseau et les tentatives d'établissement de connexions suspectes,
former les utilisateurs aux méthodes de reconnaissance de l'ingénierie sociale, et ceci avec une analyse de scénarios d'attaque réels.

Eminence grise Baohuo. Une porte dérobée Android prend le contrôle total des comptes Telegram

Thu, 23 Oct 2025 13:36:55 GMT

le 23 octobre 2025

Doctor Web a identifié une porte dérobée dangereuse Android.Backdoor.Baohuo.1.origin dans les versions du messager Telegram X modifiées par les pirates. En plus de la possibilité de voler des données confidentielles, y compris le login et le mot de passe de l'utilisateur, ainsi que l'historique de la correspondance, ce logiciel malveillant possède un certain nombre de fonctionnalités uniques. Par exemple, pour empêcher sa détection et le fait de compromettre le compte, Android.Backdoor.Baohuo.1.origin est capable de masquer les connexions des appareils tiers dans la liste des sessions Telegram actives. De plus, il peut ajouter et exclure un utilisateur des canaux Telegram, entrer et sortir des chats en son nom, en masquant ces actions. En fait, avec son aide, les attaquants obtiennent un contrôle total sur le compte et sur les fonctions de messagerie de la victime, tandis que le cheval de Troie lui-même est un outil pour gonfler le nombre d'abonnés dans les canaux Telegram. Les cybercriminels contrôlent la porte dérobée, y compris via la base de données Redis, ce qui n'a jamais été vu auparavant dans les menaces ciblant Android. Nos experts estiment que le nombre total d'appareils contaminés par Android.Backdoor.Baohuo.1.origin a dépassé 58 000.

La propagation d’Android.Backdoor.Baohuo.1.origin a commencé à la mi-2024, comme en témoignent les modifications antérieures trouvées lors de son analyse. La principale façon de fournir la porte dérobée aux appareils cibles est de faire de la publicité à l'intérieur des applications mobiles. Les victimes potentielles voient des annonces qui proposent d'installer le messager Telegram X. Lorsqu'ils cliquent sur la bannière, les utilisateurs sont redirigés vers des sites malveillants à partir desquels le fichier APK de cheval de Troie est téléchargé.

Ces sites sont conçus dans le style d'une boutique d'applications, et le messager lui-même y est positionné comme une plateforme de recherche pratique d'un partenaire pour la communication et les dates. Ceci est mis en évidence à la fois par des bannières avec du texte publicitaire sur les « chats vidéo gratuits » et des invitations à « parler » (par exemple, sous le couvert de captures d'écran de la fenêtre d'appel vidéo), et par des critiques d'utilisateurs prétendument satisfaits écrites par des malfaiteurs. Il est à noter que les pages Web offrent une possibilité de choisir la langue de conception, mais les images elles-mêmes ne changent pas.

L'un des sites malveillants à partir desquels la version Trojan de Telegram X est téléchargée. Les victimes potentielles sont invitées à installer un programme où, selon les « avis », il est facile de trouver un partenaire pour la communication et les rencontres

Actuellement, les cybercriminels ont préparé des modèles standard avec des bannières pour seulement deux langues : le portugais avec un accent sur les utilisateurs du Brésil, ainsi que l'indonésien. Ainsi, les habitants du Brésil et de l'Indonésie sont la cible principale des attaquants. Néanmoins, il ne peut être exclu qu'au fil du temps, l'intérêt des attaquants se propage aux utilisateurs d'autres pays.

L'étude de l'infrastructure réseau des attaquants a permis de déterminer l'ampleur de leurs activités. En moyenne, les analystes de Doctor Web observent environ 20 000 connexions actives d’Android.Backdoor.Baohuo.1.origin. Dans le même temps, le nombre total d'appareils contaminés a dépassé 58 000. Environ 3 000 modèles différents de smartphones, de tablettes, de décodeurs et même de voitures avec des ordinateurs de bord basés sur Android ont été infectés.

Pays avec le plus grand nombre d'appareils contaminés par Android.Backdoor.Baohuo.1.origin (selon le laboratoire antivirus de Doctor Web)

Cependant Android.Backdoor.Baohuo.1.origin ne se propage pas seulement via des sites malveillants : nos experts l'ont trouvé dans des répertoires tiers d'applications Android — par exemple, APKPure, ApkSum et AndroidP. Notamment, il est publié dans la boutique APKPure pour le compte du développeur officiel de messenger, malgré le fait que les signatures numériques de l'original et de la modification du cheval de Troie sont différentes. Nous avons notifié les plateformes en ligne où des versions cheval de Troie de Telegram X ont été trouvées.

Le Telegram X modifié avec d’Android.Backdoor.Baohuo.1.origin, qui peuvent être divisées en 3 groupes principaux de modifications Telegram X :

Le laboratoire antivirus de Doctor Web a identifié plusieurs variantes Android.Backdoor.Baohuo.1.origin, которые условно можно разделить на 3 основные группы модификаций Telegram X:

versions dans lesquelles les attaquants ont intégré une porte dérobée dans le fichier principal DEX exécutable du messager,
versions dans lesquelles la porte dérobée sous la forme d'un patch est intégrée dynamiquement dans le fichier DEX exécutable à l'aide de l'utilitaire LSPatch,
versions dans lesquelles la porte dérobée se trouve dans un fichier DEX séparé, dans le répertoire avec les ressources du programme et est chargée dynamiquement.

Quel que soit le type de modification, Android.Backdoor.Baohuo.1.origin est initialisé lors du lancement du messager lui-même. Le messager reste opérationnel et ressemble à un programme régulier pour les utilisateurs. Cependant, en réalité, les attaquants par la porte dérobée la contrôlent complètement et peuvent même changer la logique de son fonctionnement.

Lorsque les cybercriminels doivent effectuer une action qui ne nécessite pas d'interférence avec la fonctionnalité principale du programme, des « miroirs » pré-préparés des méthodes d'application nécessaires sont utilisés. Par exemple, ils peuvent être utilisés pour afficher des messages d'hameçonnage dans des fenêtres qui ne seront pas différentes des vraies fenêtres Telegram X.

Les méthodes sont des blocs de code distincts dans la structure des applications Android qui sont responsables de l'exécution de certaines tâches.

Si l'action n'est pas standard pour le programme, alors le framework Xposed est utilisé, ce qui modifie directement une fonctionnalité de messagerie particulière par le biais d'une modification dynamique des méthodes. En particulier, il masque certains chats et appareils autorisés, et intercepte le contenu du presse-papiers.

La principale différence entre les premières versions de l'application malveillante et les versions actuelles réside dans la gestion du cheval de Troie. Dans les anciennes versions, la communication avec les pirates et la réception des tâches de leur part sont mises en œuvre de manière traditionnelle — via un serveur C2. Cependant, au fil du temps, les auteurs de virus ont ajouté à Android.Backdoor.Baohuo.1.origin une option permettant d'envoyer des commandes supplémentaires via la base de données Redis, élargissant ainsi ses fonctionnalités et fournissant deux canaux de contrôle indépendants. Dans le même temps, ils ont prévu la duplication de nouvelles commandes via un serveur C2 standard au cas où la base de données ne serait pas disponible. C'est le premier fait connu de l'utilisation de Redis pour gérer des logiciels malveillants ciblant Android.

Au démarrage, Android.Backdoor.Baohuo.1.origin se connecte au serveur C2 initial pour télécharger la configuration, qui contient entre autres des données pour se connecter à Redis. Via cette base de données, les attaquants envoient non seulement certaines commandes à une application malveillante, mais mettent également à jour les paramètres du cheval de Troie. Notamment, ils attribuent l'adresse du serveur C2 actuel, ainsi que du serveur NPS (Network Policy Server - serveur de politique réseau). Ce dernier est utilisé par les auteurs de virus pour connecter les appareils infectés à leur réseau interne (intranet) et les transformer en proxy pour accéder à Internet.

Android.Backdoor.Baohuo.1.origin communique périodiquement avec le serveur C2 via des appels API et peut recevoir les tâches suivantes :

télécharger les SMS entrants et les contacts de l'annuaire téléphonique d'un appareil infecté vers le serveur C2,
envoyer le contenu du presse-papiers au serveur lorsque la fenêtre du messager est minimisée et lorsque l'on rentre à sa fenêtre,
recevoir du serveur C2 des adresses Internet pour afficher de la publicité, ainsi que l'adresse du serveur pour télécharger les mises à jour du cheval de Troie sous la forme d'un fichier DEX exécutable,
obtenir des clés de chiffrement qui sont utilisées lors de l'envoi de certaines données au serveur C2 - par exemple, le contenu du presse-papiers,
demander un groupe de commandes pour collecter des informations sur les applications installées sur l'appareil, l'historique des messages, les contacts de l'annuaire téléphonique de l'appareil et sur les appareils sur lesquels le Telegram est connecté (la demande est exécutée avec un intervalle de 30 minutes),
demander un lien au serveur C2 pour télécharger la mise à jour Telegram X,
demander une configuration au serveur C2, qui est enregistrée en tant que fichier JSON,
demander des informations à partir de la base de données Redis,
uploader sur le serveur C2 des informations sur l'appareil à chaque activité réseau du messager,
obtenir une liste de bots du serveur C2, qui sont ensuite ajoutés à la liste de contacts Telegram,
toutes les 3 minutes, transmettre au serveur des informations sur les autorisations actuelles de l'application, l'état de l'appareil (si l'écran est allumé ou éteint, si l'application est active), ainsi que le numéro de téléphone mobile avec le nom et le mot de passe du compte Telegram,
demander des commandes toutes les minutes dans un format similaire aux commandes de la base de données Redis.

Pour recevoir des commandes via Redis, Android.Backdoor.Baohuo.1.origin se connecte au serveur correspondant des intrus, où il enregistre son sous-canal — les cybercriminels s'y connectent plus tard. Ils y publient des tâches, que la porte dérobée effectue ensuite. Le logiciel malveillant peut recevoir les commandes suivantes :

créer une liste noire de chats qui ne seront pas affichés pour l'utilisateur dans la fenêtre Telegram X,
masquer les appareils spécifiés de l'utilisateur dans la liste des appareils autorisés pour son compte,
bloquer pour une durée spécifiée l'affichage des notifications des chats mentionnés dans la liste noire créée,
afficher une fenêtre avec des informations sur la mise à jour de l'application Telegram X — lorsqu'un utilisateur clique dessus, il sera redirigé vers un site spécifié,
envoyer des informations sur toutes les applications installées au serveur C2,
réinitialiser la session actuelle d'authentification de l'utilisateur dans Telegram sur l'appareil infecté,
afficher une fenêtre avec des informations sur la mise à jour de l'application Telegram X, où l'utilisateur est invité à installer le fichier APK (si le fichier est manquant, le cheval de Troie le pré-télécharge),
supprimer l'icône Telegram Premium de l'interface de l'application de l'utilisateur actuel,
télécharger des informations à partir des bases de données Telegram X qui stockent l'historique des discussions, les messages et d'autres données confidentielles sur le serveur C2,
abonner l'utilisateur à un canal Telegram spécifié,
quitter un canal Telegram spécifié,
rejoindre le chat Telegram au nom de l'utilisateur en utilisant un lien spécifié,
obtenir une liste des appareils sur lesquels l'authentification dans Telegram a été effectuée,
demander de recevoir le jeton d'authentification de l'utilisateur et le transférer au serveur C2.

Il est à noter que l'interception des données du presse-papiers, lorsque l'utilisateur minimise le messager ou bien retourne à sa fenêtre, permet de mettre en œuvre divers scénarios de vol de données confidentielles. Par exemple, une victime peut copier un mot de passe ou une phrase mnémonique pour se connecter à un portefeuille cryptographique, le texte d'un document important à envoyer à des partenaires commerciaux par courrier, etc., et le cheval de Troie interceptera les données restantes dans le tampon et les transférera aux attaquants.

Dr.Web Security Space pour les appareils mobiles détecte avec succès toutes les modifications connues d'Android.Backdoor.Baohuo.1.origin, il ne représente donc aucun danger pour les utilisateurs Dr.Web.

Plus d'info sur Android.Backdoor.Baohuo.1.origin
Indicateurs de compromission

Informations structurées sur les attaques ciblées : les rapports Dr.Web vxCube sont combinés avec la matrice Mitre ATT&CK.

Wed, 22 Oct 2025 11:38:29 GMT

Doctor Web présente le service Dr.Web vxCube actualisé. Le principal changement est la superposition du rapport sandbox sur la matrice Mitre ATT&CK Enterprise, qui permet de combiner les résultats de l'analyse avec une base de connaissances sur les tactiques et les techniques des attaquants.

Le résultat : une évaluation plus précise de la nocivité des échantillons à l'étude et la construction d'une chronologie de l'attaque. La matrice Mitre ATT&CK sous la forme d'une base de connaissances décrit les tactiques et les techniques des cybercriminels attaquant les systèmes d'information — cela permet aux spécialistes en sécurité informatique d'obtenir des données prêtes à l'emploi pour améliorer l'efficacité de la protection de l'infrastructure.

Cette mise à jour donne aux spécialistes une possibilité non seulement de voir un rapport technique sur les actions d'un objet potentiellement malveillant, mais également d'enregistrer la chaîne d'actions : comment l'objet a-t-il pénétré dans le système et l'a infecté. Sur la base de ces informations, il deviendra clair où il vaut la peine de « renforcer » la protection et de modifier les politiques de sécurité. De plus, en fonction des techniques et des tactiques découvertes, il est possible de créer des règles spécialisées pour l'ajout aux systèmes SOC et SIEM.

Pour plus de clarté, nous vous suggérons d'analyser l'un des rapports obtenus après avoir analysé un ransomware à chiffrement connu dans la nouvelle version de Dr.Web vxCube :

Tactique : Initial Access («accès initial»)
Technique : Replication Through Removable Media («Propagation via des supports amovibles»)
La source d'infection était un support amovible, sur lequel un attaquant a téléchargé un programme malveillant. Il se peut que l'employé ait utilisé une clé USB personnelle infectée.
Tactique : Exécution
Technique : Windows Management Instrumentation (WMI)
Dès que le lecteur flash est inséré dans l'ordinateur, le mécanisme d'exécution automatique est déclenché (par exemple, via autorun.inf). Le rançongiciel de chiffrement utilise l'outil système WMI pour effectuer sa charge principale. Cela l'aide à éviter les antivirus simples, car WMI est un outil d'administration légitime.
Tactiques : Persistence & Privilege Escalation («permanence et escalade de privilèges»)
Technique : Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
Pour survivre au redémarrage de l'ordinateur et prendre le contrôle la prochaine fois que l'utilisateur se connecte, le ransomware s'enregistre dans l'auto-démarrage. Il crée une entrée dans le registre ou se copie dans le dossier « Auto-démarrage ». Souvent, cette étape lui permet également d'élever les privilèges au niveau de l'utilisateur actuel.
Tactique : Defense Evasion («évasion de la défense»)
Technique : Indicator Removal: File Deletion («suppression des indicateurs : suppression de fichiers»)
Une fois ancré dans l'OS, le ransomware commence à « couvrir ses traces ». Il supprime son fichier exécutable d'origine d'un lecteur flash USB ou d'un dossier temporaire pour le rendre plus difficile à détecter et à analyser pour les experts antivirus.
Tactique : Lateral Movement («déplacement dans le réseau»)
Technique : Replication Through Removable Media («Propagation via des supports amovibles»)
Le programme malveillant n'arrête pas son activité sur un ordinateur. Il surveille la connexion des nouvelles clés USB et les infecte. Maintenant, lorsque l'employé prend son lecteur flash de travail et l'insère dans un autre ordinateur, l'attaque sera répétée. Ainsi, le virus « saute » à travers les entrefers (air-gap) au sein du réseau.
Tactique : Impact
Techniques : Inhibit System Recovery et Data Encrypted for Impact
Inhibit System Recovery : le ransomware tente de détruire ou de chiffrer le service de copie d'ombre (Volume Shadow Copy Service, ou VSS) afin que la victime ne puisse pas récupérer les fichiers à l'aide des outils Windows standard.
Data Encrypted for Impact : le programme chiffre tous les fichiers importants sur l'ordinateur (documents, photos, bases de données) à l'aide d'un algorithme puissant. Après cela, un message apparaît à l'écran demandant une rançon pour la clé de déchiffrement.

Sur cette base, le spécialiste en sécurité informatique peut prendre les mesures suivantes pour prévenir les contaminations par des programmes malveillants similaires :

Resserrez les politiques d'utilisation des périphériques USB (interdiction de l'exécution automatique, utilisation uniquement des lecteurs flash d'entreprise avec cryptage).
Configurez les systèmes de surveillance pour détecter les entrées suspectes dans les clés Registry Run Keys et utilisez WMI pour exécuter des scripts malveillants.
Mettre en œuvre la segmentation du réseau pour limiter la propagation de la menace.
Mettre en place des copies de sauvegarde régulières et sécurisées pour assurer la récupération.

L'innovation est disponible en version cloud ainsi qu'en version locale (on-premise) de Dr.Web vxCube, elle s'applique à la recherche dans les environnements Windows et Linux et est disponible uniquement en anglais. Les développeurs de Doctor Web prévoient d'ajouter une analyse dans l'environnement Android OS.

De plus, la documentation du bac à sable a été mise à jour. En raison de la mise à jour, la version cloud de Dr.Web vxCube ne sera pas disponible le 23 juillet de 12h00 à 13h00, heure de Paris.

Pour mettre à jour la version locale, vous devrez télécharger de nouvelles versions de la distribution Dr.Web vxCube et des images des machines virtuelles, ainsi que réinstaller le logiciel conformément à la documentation. Pour télécharger la version mise à jour, utilisez l'assistant de téléchargement.

Dr.Web vxCube est un outil d'analyse d'objets suspects dans un environnement virtuel isolé. Il permet d'identifier les indicateurs de compromission et de prévenir les attaques, y compris les attaques ciblées (APT). Le bac à sable est disponible en deux versions : cloud et locale (on-premise).

Pour obtenir un accès démo à la version cloud de Dr.Web vxCube, veuillez utiliser le formulaire web dédié.

Vous pouvez acheter la solution auprès des partenaires de Doctor Web.

Cette mise à jour contient la base de connaissances de MITRE ATT&CK®. L'utilisation de cette base de connaissances est basée sur une licence accordée par The MITRE Corporation.

Les conditions d'utilisation de MITRE ATT&CK® sont disponibles sur https://attack.mitre.org/resources/legal-and-branding/terms-of-use/.

Mise à jour du contrat de licence du produit Dr.Web vxCube

Fri, 17 Oct 2025 07:53:07 GMT

Le bac à sable Dr.Web vxCube analyse les fichiers suspects en reproduisant leur comportement dans un environnement virtuel isolé, ce qui permet de détecter les signes d'infection des systèmes informatiques et de supprimer en temps opportun les tentatives d'attaques, y compris les attaques ciblées (APT).
Dr.Web vxCube permet d'analyser des objets pour Windows et Linux. De plus, le bac à sable Dr.Web vxCube peut être utilisé pour analyser les applications au format APK pour Android et les conteneurs Docker.
L'analyseur de fichiers suspects Dr.Web vxCube (sandbox) est disponible en deux versions : cloud et on-premise. Le produit peut être complété par une version spécialisée de Dr.Web CureIt ! pour traiter un fichier malveillant.
Le contrat de licence actualisé est disponible sur le lien https://license.drweb.com/agreement/.
Vous pouvez acheter la solution auprès des partenaires de Doctor Web.

Doctor Web : rapport viral du 3eme trimestre 2025

Wed, 01 Oct 2025 01:00:00 GMT

le 1er octobre 2025

Selon les statistiques de détection récoltées par l'antivirus Dr.Web, le nombre total de menaces détectées lors du 3eme trimestre 2025 a diminué de 4,23% par rapport au deuxième trimestre. Dans le même temps, le nombre de menaces uniques a augmenté de 2,17%. Le plus souvent, des logiciels publicitaires indésirables, des chevaux de Troie publicitaires et des scripts malveillants ont été détectés sur les appareils protégés. Le trafic de messagerie a été dominé par des scripts malveillants, des portes dérobées et divers chevaux de Troie tels que des bootloaders, des virus compte-gouttes (dropper) et des voleurs de mots de passe.

Les utilisateurs dont les fichiers ont été affectés par des rançongiciels ont été les plus susceptibles de rencontrer des encodeurs. Trojan.Encoder.35534, Trojan.Encoder.35209 et Trojan.Encoder.35067.

En juillet, les experts de Doctor Web ont parlé de la famille de chevaux de Troie Trojan.Scavenger conçue pour voler des crypto-monnaies et des mots de passe. Les attaquants les diffusaient sous l’apparence de mods, de cheatset de correctifs pour les jeux vidéo. Leur exécution s’appuyait sur des applications légitimes, en exploitant notamment la vulnérabilité de type DLL Search Order Hijacking.

En août, nos analystes de virus ont mis en garde contre la propagation de la porte dérobée multifonctionnelle Android.Backdoor.916.origin, une menace ciblant les appareils mobiles, utilisés par les représentants d’entreprises russes. Les cybercriminels la contrôlaient à distance, volant des données confidentielles avec son aide et traquant les victimes.

Le même mois, le laboratoire antivirus de Doctor Web a publié une étude sur une attaque ciblée du groupe Scaly Wolf contre une entreprise russe de construction de machines. Les attaquants ont utilisé un certain nombre d'outils malveillants, parmi lesquels la porte dérobée modulaire Updatar a joué un rôle central. Avec son aide, les attaquants ont tenté d'obtenir des données confidentielles depuis les ordinateurs infectés.

Au troisième trimestre, les analystes Internet ont identifié de nouveaux faux sites de la messagerie Telegram, ainsi qu'un certain nombre de plateformes financières frauduleuses. De plus, au cours des trois derniers mois, nos spécialistes ont enregistré l'apparition de dizaines d'applications malveillantes et indésirables dans le catalogue Google Play, dont les Trojans Android.Joker, qui abonnent les utilisateurs à des services payants et les faux programmes Android.FakeApp.

Tendances principales du 3eme trimestre

Diminution du nombre de menaces détectées sur les appareils protégés
Augmentation du nombre de menaces uniques qui ont attaqué les utilisateurs
Emergence de nouveaux faux sites imitant la messagerie Telegram et de ressources financières frauduleuses sur Internet
Distribution d'applications malveillantes Trojan.Scavenger qui ont volé de la cryptomonnaie et des mots de passe
Utilisation de la porte dérobée Android.Backdoor.916.origin pour espionner les représentants d'entreprises russes et voler des données confidentielles
Les Trojans publicitaires Android.MobiDash sont devenus la menace la plus courante pour les appareils Android
Diminution de l'activité des Trojans publicitaires Android.HiddenAds pendant le deuxième trimestre consécutif
Propagation de nombreuses menaces sur Google Play

Données du service de statistiques de Doctor Web

Les menaces les plus répandues au cours du 3eme trimestre 2025 :

VBS.KeySender.7: Script malveillant qui, dans une boucle infinie, recherche des fenêtres contenant les textes suivants :mode extensions, разработчика et розробника et leur envoie un événement de clic sur la touche Échap, les forçant ainsi à fermer.
Adware.Downware.20091: Adware souvent utilisé comme outil intermédiaire de téléchargement de programmes pirates.
Trojan.Siggen31.34463: Cheval de Troie écrit dans le langage de programmation Go et conçu pour charger divers miners et logiciels publicitaires dans le système cible. Le malware est un fichier DLL situé dans %appdata%\utorrent\lib.dll. Pour son lancement, il exploite une vulnérabilité de la classe DLL Search Order Hijacking dans le client torrent uTorrent.
Adware.Ubar.20: Client torrent qui installe des logiciels indésirables sur l'appareil.
JS.Siggen5.44590: Code malveillant ajouté à la bibliothèque publique JavaScript es5-ext-main. Affiche un message spécifique si le package est installé sur un serveur avec le fuseau horaire des villes russes.

Statistiques relatives aux programmes malveillants détectés dans le trafic e-mail

W97M.DownLoader.2938: Famille de Trojans Downloaders qui exploitent les vulnérabilités des documents créés dans MS Office. Ils sont conçus pour télécharger d'autres logiciels malveillants sur l'ordinateur attaqué.
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4: Exploits conçus pour exploiter des vulnérabilités dans le logiciel Microsoft Office et qui permettent l'exécution du code arbitraire.
JS.Phishing.745: Script malveillant écrit en JavaScript qui crée une page web de phishing.
JS.Muldrop.371: Script JavaScript malveillant qui installe une charge "utile" sur le système.

Rançongiciels

Par rapport au deuxième trimestre, en quatrième trimestre 2025, le nombre de demandes pour le déchiffrement de fichiers touchés par les rançongiciels a augmenté de 3,02%.

Dynamique des demandes de décryptage reçues par le support technique de Doctor Web :

Les encodeurs les plus répandues au cours du 3eme trimestre 2025 :

Trojan.Encoder.35534 — 26.99% des demandes d'utilisateurs
Trojan.Encoder.35209 — 3.07% des demandes
Trojan.Encoder.35067 — 2.76% des demandes
Trojan.Encoder.41542 — 2.15% des demandes
Trojan.Encoder.29750 — 1.84% des demandes

Fraudes sur le Web

Au troisième trimestre 2025, les analystes Internet de Doctor Web ont continué à enregistrer l'apparition de faux sites imitant la messagerie Telegram, notamment utilisés par les fraudeurs pour tenter d'accéder aux comptes utilisateurs :

De plus, des sites Web financiers frauduleux ont été réintroduits. L'un de ces sites a attiré les utilisateurs vers la soi-disant « plateforme d'investissement du futur » Apple Trade AI, prétendument créée par Apple. Les cybercriminels promettaient aux victimes potentielles une possibilité de gagner plus de 4 000 $ par mois et, pour « accéder » au service, ils invitaient les internautes à s'inscrire en fournissant leurs données personnels.

D'autres ressources Internet invitaient à participer « à la nouvelle plateforme d'investissement de Meta » et à « créer une source de revenu constant de 4 000 $ par mois ». Pour accéder à la « plateforme », les visiteurs de ces sites devaient remplir un sondage et passer une procédure d'enregistrement.

Nos experts ont également identifié de nouvelles variantes de fausses plateformes d'investissement qui permettraient de gagner de l'argent en utilisant des robots de trading via WhatsApp.

Pour « utiliser » les services promis, les victimes potentielles ont été demandées de fournir des données personnelles :

Un certain nombre de sites frauduleux ciblaient des publics dans certains pays. Certains d'entre eux s'adressaient à des utilisateurs des pays de la CEI, qui se voyaient proposer par les attaquants d’ouvrir un « marché d'investissement fermé » et d'accéder à des investissements exclusifs via le service financier INSIDER X. Pour ce faire, les visiteurs devaient « laisser une demande » en indiquant des données personnelles.

Dans l'un des stratagèmes destinés aux utilisateurs russes, les attaquants ont proposé de répondre à une enquête et d'accéder à une « plateforme d'investissement » prétendument liée aux grandes sociétés pétrolières et gazières et au portail d'État des services publics :

D'autres sites ont été déguisés en services réels de banques russes et ont proposé de s'inscrire afin de « gagner à partir de 50 000 roubles par semaine » :

Les résidents d'un certain nombre d'autres États ont de nouveau été confrontés à des contrefaçons similaires. Sur l'un des sites, les utilisateurs du Kirghizistan se sont vu proposer de faire partie d'un programme populaire et d'investir dans la plus grande entreprise du pays, selon eux :

L'autre était prétendument liée à l'une des banques en Géorgie et invitait à rejoindre sa « plateforme d'investissement » :

Les fraudeurs ont présenté un faux site similaire comme appartenant à l'une des banques du Kazakhstan et ont promis aux utilisateurs un revenu de 60 000 tenges par mois :

Sur l'une des ressources Internet, les pirates, se faisant passer pour une société pétrolière et gazière turque, proposaient aux victimes potentielles de participer à une plateforme d'investissement et de gagner « jusqu'à 9 000 livres turques par jour » :

Parallèlement, les fraudeurs ont continué à exploiter le sujet de paiements et de compensations de l'État. Sur l'un des sites indésirables ciblant les utilisateurs du Kazakhstan, les visiteurs pouvaient prétendument vérifier l’éligibilité à une compensation monétaire et recevoir jusqu'à 5 000 000 tenges :

En savoir plus sur les sites non recommandés par Dr.Web.

Logiciels malveillants et indésirables ciblant les appareils mobiles

Selon les statistiques de détection de Dr.Web Security Space pour les appareils mobiles, au 3eme trimestre 2025, les utilisateurs ont le plus souvent été confrontés aux Trojans publicitaires Android.MobiDash. Les chevaux de Troie Android.HiddenAds, qui occupaient auparavant la première place, ont chuté à la deuxième place, avec une activité nettement réduite. La troisième place revient aux faux programmes malveillants Android.FakeApp.

Par rapport au deuxième trimestre, le nombre de détections de chevaux de Troie bancaires Android.BankBot a augmenté, tandis que le nombre de détections de chevaux de Troie Android.Banker et Android.SpyMax a diminué.

En août, les experts de Doctor Web ont parlé de la porte dérobée multifonctionnelle Android.Backdoor.916.origin, que les attaquants utilisaient pour voler des données confidentielles et espionner des représentants d'entreprises russes.

Au cours des 3 derniers mois, plus de 70 programmes malveillants ont été détectés sur Google Play. Parmi eux, les chevaux de Troie Android.Joker, qui abonnent les utilisateurs à des services payants, les faux programmes Android.FakeApp et le logiciel Program.FakeMoney.16, permettant prétendument de convertir des récompenses virtuelles en argent réel.

Les événements les plus importants du 3eme trimestre liés à la sécurité des appareils mobiles :

Activité accrue des chevaux de Troie publicitaires Android.MobiDash
Diminution de l'activité des Trojans publicitaires Android.HiddenAds
Augmentation de l'activité des chevaux de Troie bancaires Android.BankBot
Diminution du nombre d'attaques de chevaux de Troie bancaires Android.Banker et Android.SpyMax
Utilisation par les pirates de la porte dérobée multifonctionnelle Android.Backdoor.916.origin pour espionner les représentants des entreprises russes
Propagation de nombreuses menaces sur Google Play

Pour en savoir plus sur la situation virale et les menaces ciblant les appareils mobiles au 3eme trimestre 2025, consultez notre Rapport.