Doctor Web : rapport viral du 1er trimestre 2026

le 1 avril 2026

Selon les statistiques de détection récoltées par Dr.Web Antivirus, le nombre total de menaces détectées lors du premier trimestre 2026 a augmenté de 6,77% par rapport au quatrième trimestre de l'année dernière. Le nombre de menaces uniques a diminué de 11,98%. Les logiciels malveillants les plus fréquemment détectés sur les appareils protégés étaient des logiciels publicitaires et des chevaux de Troie publicitaires, des téléchargeurs malveillants et des portes dérobées.

Les logiciels malveillants les plus fréquemment détectés dans le trafic de messagerie étaient des scripts malveillants, des portes dérobées et diverses applications de type cheval de Troie. Les attaquants ont également diffusé des documents d'hameçonnage et des exploits par e-mail.

Les utilisateurs dont les fichiers ont été affectés par des rançongiciels ont été les plus susceptibles de rencontrer des encodeurs Trojan.Encoder.35534, Trojan.Encoder.29750 et Trojan.Encoder.41868.

Au cours du premier trimestre 2026, les analystes Internet de Doctor Web ont identifié de nouveaux sites d'hameçonnage, notamment de fausses ressources d'établissements de crédit et de marketplaces, ainsi qu'un certain nombre d'autres sites indésirables.

Le secteur des appareils mobiles a connu une activité accrue des chevaux de Troie bancaires. Dans le même temps, nos analystes antivirus ont constaté une popularité croissante d'une méthode permettant de protéger les logiciels malveillants contre la détection par les logiciels antivirus, qui consiste à y ajouter du code inutile.

En janvier, les experts de Doctor Web ont signalé l'existence de Trojans de type clicker Android.Phantom, qui utilisent l'apprentissage automatique et les flux vidéo pour augmenter le nombre de clics sur les sites web. De plus, au cours des trois derniers mois, nous avons constaté l'apparition de nouveaux logiciels malveillants dans le catalogue Google Play, notamment des chevaux de Troie qui abonnent les utilisateurs à des services payants.

Données du service de statistiques de Doctor Web

Les menaces les plus répandues au cours du 1er trimestre 2026 :

Trojan.Siggen31.34463

Cheval de Troie écrit dans le langage de programmation Go et conçu pour charger divers miners et logiciels publicitaires dans le système cible. Le malware est un fichier DLL situé dans %appdata%\utorrent\lib.dll. Pour son lancement, il exploite une vulnérabilité de la classe DLL Search Order Hijacking dans le client torrent uTorrent.

Adware.Downware.20655

Adware.Downware.20766

Adware souvent utilisé comme outil intermédiaire de téléchargement de programmes pirates.

Trojan.BPlug.4268

Composant malveillant de l'extension de navigateur WinSafe. Ce composant est un script JavaScript qui affiche des publicités intrusives dans les navigateurs.

Adware.Siggen.33379

Faux bloqueur de publicités pour les navigateurs web Adblock Plus, qui est installé sur le système par d'autres applications malveillantes dans le but d'afficher des publicités.

Statistiques relatives aux programmes malveillants détectés dans le trafic e-mail

Les menaces les plus courantes dans le trafic de messagerie au premier trimestre 2026

JS.DownLoader.1225

Détection heuristique des archives ZIP contenant des scripts JavaScript aux noms suspects.

W97M.DownLoader.2938

Famille de Trojans Downloaders qui exploitent les vulnérabilités des documents créés dans MS Office. Ils sont conçus pour télécharger d'autres logiciels malveillants sur l'ordinateur attaqué.

Exploit.CVE-2017-11882.123

Exploit.CVE-2018-0798.4

Exploits conçus pour exploiter des vulnérabilités dans le logiciel Microsoft Office et qui permettent l'exécution du code arbitraire.

JS.Redirector.514

Script malveillant qui redirige l'utilisateur vers une page Web contrôlée par les pirates.

Rançongiciels

Par rapport au quatrième trimestre 2025, le nombre de demandes pour le déchiffrement de fichiers touchés par des rançongiciels a diminué de 31,51% au 1er trimestre. Cette diminution s'est produite durant les fêtes du Nouvel An et du long week-end qui a suivi, période durant laquelle un certain nombre de cybercriminels ont pu suspendre leurs activités et partir en vacances. Cependant, les utilisateurs qui ont subi des attaques de ransomware durant cette période n'ont peut-être pas réagi immédiatement aux incidents.

Dynamique des demandes de décryptage reçues par le support technique de Doctor Web :

Les encodeurs les plus répandues au cours du 1er trimestre 2026 :

• Trojan.Encoder.35534 — 15,59% des demandes
• Trojan.Encoder.29750 — 3,23% des demandes
• Trojan.Encoder.41868 — 3,23% des demandes
• Trojan.Encoder.26996 — 1,62% des demandes
• Trojan.Encoder.44383 — 1,61% des demandes

Fraude sur le Web

Au cours des trois derniers mois, les analystes Internet de Doctor Web ont identifié plusieurs nouveaux sites Web de marketplace contrefaits. Sur de tels sites, les escrocs proposent de participer à une prétendue « vente » de commandes non recupérées. L'arnaque fonctionne de la manière suivante : Les articles issus de commandes « non réclamés » sont triés en différentes catégories (électronique, vêtements, chaussures, cosmétiques, etc.) puis soi-disant regroupés dans des boîtes surprises correspondantes.
Leur contenu est inconnu et peut inclure, entre autres, des objets de valeur. Ces boîtes sont proposées à la vente à un prix relativement bas, ce qui constitue leur principal attrait.

Un faux site de vente en ligne promet une « vente » de commandes non réclamées qui proviendraient soi-disant d'entrepôts débordées.

Lorsqu'un utilisateur sélectionne l'une des boîtes, il lui est demandé de passer une commande et de fournir des informations personnelles, qui peuvent inclure ses nom et prénom, son numéro de téléphone portable et son adresse électronique. Il est ensuite redirigé vers la page de paiement via le service de paiement rapide. Par conséquent, la victime perd son argent et divulgue des informations confidentielles aux escrocs.

Après avoir passé la « commande », la victime est invitée à la régler via le système de paiement rapide.

Nos experts ont également identifié de nombreux sites web proposant divers services financiers, tels que la possibilité d'obtenir rapidement un microcrédit, un prêt ou une déclaration de faillite. Ces services ne fournissent pas eux-mêmes les prestations attendues par les utilisateurs et agissent uniquement en tant qu'intermédiaires entre les clients et les institutions financières. Ils offrent un accès payant à une sélection d'options potentiellement adaptées, tandis que le regroupement d'offres financières similaires est disponible gratuitement. De plus, ces services ne garantissent pas le résultat favorable de la demande. Par ailleurs, le paiement de l'accès n'est pas un paiement unique, mais un abonnement payant avec des prélèvements périodiques.

L'un des sites web où l'accès au service de sélection d'offres financières est payant et se fait sous forme d'abonnement.

Dans certains cas, ces ressources peuvent induire les utilisateurs en erreur en proposant un service, comme l'emploi, mais en offrant en réalité un accès par abonnement aux offres financières pour des prêts, des microcrédits, etc.

Le site web promet une aide à la recherche d'emploi, mais après avoir payé pour accéder au service, au lieu d'une offre d'emploi, il peut proposer des offres financières de partenaires sous forme de prêts, de microcrédits, etc.

Parmi les sites d'hameçonnage identifiés au premier trimestre figuraient de fausses ressources internet concernant la course sportive Marathon Vert. Ces sites proposent aux visiteurs de s'inscrire au marathon, mais ils ne sont pas affiliés à l'événement et sont conçus pour collecter les données confidentielles des utilisateurs.

Un des faux sites web pour la course du Marathon Vert

Les analystes internet de Doctor Web ont également identifié d'autres sites web de services d'investissement frauduleux, prétendument liés à divers établissements de crédit. Parmi eux figuraient des sites web ciblant des utilisateurs de Russie, du Kazakhstan et d'autres pays. Les escrocs promettent à leurs victimes potentielles des profits élevés et, pour « accéder » à des plateformes de pseudo-investissement, leur demandent de remplir un court questionnaire et de créer un compte en fournissant des informations personnelles.

Exemple de site d'hameçonnage que les pirates informatiques font passer pour la ressource officielle du service d'investissement d'une banque russe.

Exemple de site d'hameçonnage que les pirates informatiques font passer pour la ressource officielle d'un service d'investissement d'un établissement de crédit kazakh.

Logiciels malveillants et indésirables ciblant les appareils mobiles

Selon les statistiques de détection de Dr.Web Security Space pour les appareils mobiles, le premier trimestre 2026 a connu une augmentation continue de l'activité du cheval de Troie bancaire Android.Banker, qui avait été observée au quatrième trimestre de l'année précédente. Les plus répandus étaient des représentants de la sous-famille Android.Banker.Mamont. Parallèlement le nombre de détections des chevaux de Troie publicitaires Android.MobiDash et Android.HiddenAds a de nouveau diminué.

Parmi les logiciels potentiellement dangereux détectés, les plus courants étaient des programmes dans lesquels du code erroné était introduit à l'aide d'outils de modification (détectés comme Tool.Obfuscator.TrashCode). Cette technique est actuellement utilisée activement pour protéger les chevaux de Troie bancaires contre la détection par les logiciels antivirus. De plus, les applications modifiées à l'aide de l'utilitaire NP Manager (détectées sous le nom de Tool.NPMod) sont restées largement répandues.

Les logiciels indésirables le plus fréquemment détectés ont été les faux antivirus Program.FakeAntiVirus, qui exigeaient l'achat de la version complète pour « éliminer » les menaces supposément détectées. Les programmes publicitaires les plus actifs au cours du premier trimestre étaient Adware.Bastion.1.origin et Adware.Opensite.15. Les premières sont des applications d'optimisation qui créent des notifications contenant des messages concernant une mémoire insuffisante et des erreurs système supposées, afin d'afficher des publicités pendant l'« optimisation ». Les derniers sont de faux programmes de triche censés permettre d'obtenir diverses ressources dans les jeux, mais en réalité, ils ne font que télécharger des sites web publicitaires.

En janvier 2026, notre laboratoire antivirus a mis en garde contre les Trojans Clickers Android.Phantom. Ces applications malveillantes utilisent l'apprentissage automatique et les flux vidéo pour manipuler les clics sur les sites web.
Les cybercriminels les ont distribués par plusieurs méthodes : via le catalogue GetApps pour les appareils Xiaomi, les chaînes Telegram, les serveurs Discord, les collections de logiciels tiers et les sites web malveillants.

Au cours des trois derniers mois, les analystes antivirus de Doctor Web ont identifié de nouvelles menaces dans le catalogue Google Play, notamment les applications de type cheval de Troie Android.Joker et Android.Subscription, conçues pour inciter les utilisateurs à s'abonner à des services payants.

Les événements les plus importants du 1er trimestre liés à la sécurité des appareils mobiles :

• Les Trojans bancaires Android.Banker sont devenus la menace la plus courante pour les appareils Android.
• Les cybercriminels utilisent de plus en plus les outils de modification d'applications Android pour protéger les chevaux de Troie bancaires contre la détection par les antivirus.
• La tendance à la baisse de l'activité des chevaux de Troie publicitaires Android.MobiDash et Android.HiddenAds s'est poursuivie.
• Les utilisateurs ont été menacés par les chevaux de Troie Android.Phantom, qui utilisent l'apprentissage automatique et les flux vidéo pour manipuler les clics sur les sites web.
• De nouvelles applications malveillantes ont été détectées sur Google Play.

Pour en savoir plus sur la situation virale et les menaces ciblant les appareils mobiles au 1er trimestre 2026, consultez notre Rapport.