Doctor Web : rapport viral sur les menaces pour appareils mobiles du 3eme trimestre 2025

Selon les statistiques de détection de Dr.Web Security Space pour les appareils mobiles, au 3eme trimestre 2025, les Trojans Android.MobiDash affichant des publicités intempestives ont été les plus répandus. Par rapport au trimestre précédent, on observe une hausse de 18,19 % des détections sur les appareils des utilisateurs.

La deuxième place est occupée par les Trojans publicitaires Android.HiddenAds, dont l'activité est en baisse pour le deuxième trimestre consécutif. Au cours des trois derniers mois, leur détection chez les utilisateurs a chuté de 71,85 %. Ces applications malveillantes masquent leurs icônes pour les rendre plus difficiles à détecter et à supprimer, et affichent des publicités, y compris des vidéos en plein écran.

Les faux programmes malveillants Android.FakeApp, que les attaquants utilisent dans divers stratagèmes frauduleux, sont à nouveau à la troisième place. Le nombre de leurs détections a diminué de 7,49%. Au lieu de la fonctionnalité déclarée, ces chevaux de Troie chargent souvent divers sites Web, notamment, des sites frauduleux et malveillants, ainsi que des sites Web de casinos en ligne et de bookmakers.

Les chevaux de Troie bancaires les plus répandus restent les représentants de la famille Android.Banker, malgré une baisse de l'activité de 38,88 %. Les attaquants les utilisent pour accéder illégalement à des comptes bancaires et voler de l'argent. Ces chevaux de Troie peuvent afficher des fenêtres d'hameçonnage pour voler des identifiants et des mots de passe, imiter l'apparition de véritables programmes banque-client, intercepter des messages SMS pour obtenir des codes à usage unique, etc.

Ils sont suivis des chevaux de Troie Android.BankBot, qui ont été détectés 18,91 % plus souvent. Ils tentent également d'accéder aux comptes bancaires en ligne des utilisateurs en interceptant les codes de confirmation. Dans le même temps, ces chevaux de Troie bancaires peuvent exécuter diverses commandes de cybercriminels, et certains d'entre eux permettent de contrôler à distance les appareils infectés.

Le top trois est complété par les représentants de la famille Android.SpyMax basés sur le code source du cheval de Troie espion SpyNote. Ils ont été détectés 17,25 % moins souvent qu'au deuxième trimestre. Ces programmes malveillants ont un large éventail de fonctionnalités malveillantes, y compris la possibilité de contrôler à distance des appareils.

En août, nous avons rapporté une campagne visant à diffuser la porte dérobée multifonctionnelle Android.Backdoor.916.origin, que les cybercriminels utilisent pour voler des données confidentielles et espionner les utilisateurs d'appareils Android. Les attaquants ont envoyé des messages aux victimes potentielles via divers messagers, proposant d'installer un « antivirus » à partir d'un fichier APK joint. Le laboratoire antivirus de Doctor Web a découvert les premières versions de ce programme malveillant en janvier 2025 et continue de suivre son développement depuis. Selon nos experts, la porte dérobée est utilisée dans des attaques ciblées et n'est pas destinée à une distribution de masse. Les représentants des entreprises russes constituent la principale cible des cybercriminels.

Au cours du troisième trimestre, de nombreuses applications malveillantes et indésirables ont été publiées sur Google Play, et ont été installées plus de 1 459 000 fois. Parmi eux, on voit des dizaines de chevaux de Troie Android.Joker, qui abonnent leurs victimes à des services payants, on voit également de faux programmes Android.FakeApp. De plus, nos analystes de virus ont identifié un nouveau programme prétendument capable de convertir des récompenses virtuelles en argent réel.

Selon les données obtenues par Dr.Web Security Space pour les appareils mobiles

Android.MobiDash.7859

Trojan qui affiche des publicités intempestives. C'est un module de programme que des développeurs de logiciels intègrent dans des applications.

Android.FakeApp.1600

Cheval de Troie qui télécharge un site Web indiqué dans ses paramètres. Les modifications connues de cette application malveillante téléchargent un site Web d’un casino en ligne.

Android.Click.1812

Détection de mods malveillants de la messagerie WhatsApp, qui de manière invisible pour l'utilisateur peut charger différents sites en arrière-plan.

Android.HiddenAds.673.origin

Trojan qui est conçu pour afficher des publicités. Les représentants de la famille Android.HiddenAds sont souvent diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires cachent généralement leur présence dans le système, notamment en masquant l'icône de l'application dans le menu de l'écran d'accueil.

Android.Triada.5847

Détection d'un Trojan packer de la famille Android.Triada, conçu pour protéger les Trojans contre l'analyse et la détection. Le plus souvent, les attaquants l'utilisent en conjonction avec des mods malveillants du messager Telegram, dans lesquels ces chevaux de Troie sont directement intégrés.

Program.FakeMoney.11

Applications prétendant permettre de gagner de l'argent en effectuant certaines actions ou tâches. Elles simulent l'accumulation de récompenses, mais pour retirer l'argent « gagné », il est nécessaire d'accumuler un certain montant. Généralement, ils ont une liste de systèmes de paiement et de banques populaires par lesquels il est prétendument possible de transférer des récompenses. Mais même lorsque les utilisateurs parviennent à accumuler un montant suffisant pour le retrait, les paiements promis n'arrivent pas. Cette entrée de la base détecte également d'autres logiciels indésirables basés sur le code de tels programmes.

Program.CloudInject.5

Program.CloudInject.1

Détection des applications Android modifiées à l'aide du service CloudInject et de l'utilitaire Android du même nom (ajouté à la base de données de virus Dr.Web sous le nom de Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant, tandis que l'utilisateur (moddeur) intéressé à les changer ne contrôle pas ce qui y sera intégré. De plus, les applications reçoivent un ensemble d'autorisations dangereuses. Après la modification, le moddeur (l’utilisateur pratiquant le modding) reçoit une possibilité de contrôler ces programmes à distance — les bloquer, afficher des boîtes de dialogue personnalisées, suivre l'installation et la désinstallation d'autres logiciels, etc.

Program.FakeAntiVirus.1

Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète.

Program.TrackView.1.origin

Application qui permet de surveiller les utilisateurs via des appareils Android. Avec ce programme, les attaquants peuvent déterminer l'emplacement des appareils ciblés, utiliser la caméra pour enregistrer des vidéos et créer des photos, écouter via le microphone, créer des enregistrements audio, etc.

Tool.NPMod.3

Tool.NPMod.1

Tool.NPMod.4

Détection des applications Android modifiées à l'aide de l'utilitaire NP Manager. Ces programmes sont dotés d'un module spécialisé qui leur permet de contourner la vérification de la signature numérique après modification.

Tool.LuckyPatcher.2.origin

Utilitaire qui permet de modifier les applications Android installées (créer des correctifs pour elles) afin de changer la logique de leur fonctionnement ou de contourner certaines restrictions. Notamment, avec son aide, les utilisateurs peuvent essayer de désactiver la vérification de l'accès root dans les programmes bancaires ou obtenir des ressources illimitées dans les jeux. Pour créer des correctifs, l'utilitaire télécharge des scripts spécialement préparés sur Internet, que n'importe qui peut créer et ajouter à la base de données commune. La fonctionnalité de ces scripts peut également être malveillante, c'est pourquoi les correctifs créés peuvent constituer un danger potentiel.

Tool.Androlua.1.origin

Détection d'un certain nombre de versions potentiellement dangereuses d'un framework pour le développement de programmes Android utilisant le langage de programmation de script Lua. La logique principale des applications Lua se trouve dans les scripts correspondants, qui sont chiffrés et déchiffrés par l'interpréteur avant exécution. Souvent, ce framework demande par défaut l'accès à de nombreuses autorisations système pour fonctionner. En conséquence, les scripts Lua exécutés via celui-ci sont potentiellement capables d'effectuer diverses actions malveillantes conformément aux autorisations reçues.

Adware.AdPush.3.origin

Adware.Adpush.21846

Modules publicitaires intégrables dans les applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent ressembler aux messages du système d'exploitation. De plus, ces modules collectent un certain nombre de données confidentielles, et sont également capables de télécharger d'autres applications et d'initier leur installation.

Adware.ModAd.1

Certaines versions modifiées (mods) du messenger WhatsApp, dont la fonction comprend un code inséré qui assure le téléchargement de liens indiqués via l'affichage Web lors de l'utilisation du messenger. Ces adresses Internet sont utilisées pour rediriger les internautes vers des sites annoncés dans la publicité, par exemple, des casinos en ligne, des bookmakers, ou des sites pour adultes.

Adware.Youmi.4

Détection d'un module publicitaire indésirable qui affiche des étiquettes publicitaires sur l'écran d'accueil des appareils Android.

Adware.Basement.1

Applications qui affichent des publicités indésirables qui mènent souvent vers des sites malveillants et frauduleux. Ils ont une base de code commune avec les programmes indésirables Program.FakeMoney.11.

Menaces sur Google Play

Au troisième trimestre 2025, le laboratoire antivirus de Doctor Web a enregistré plus de 50 chevaux de Troie de la famille Android.Joker qui abonnent les internautes à des services payants dans le catalogue Google Play. Ils ont été distribués sous le couvert de divers logiciels, notamment des messageries instantanées, toutes sortes d'utilitaires système, des éditeurs d'images, des programmes de photographie, de traitement de documents, etc.

L'un des chevaux de Troie a été caché dans le programme d'optimisation du système Clean Boost (Android.Joker.2412), l'autre a été trouvé dans l'application Convert Text to PDF (Android.Joker.2422) conçu pour convertir du texte en documents PDF

De plus, nos spécialistes ont trouvé d'autres faux programmes Android.FakeApp ,utilisés dans des stratagèmes frauduleux. Comme auparavant, certains d'entre eux ont été présentés par les cybercriminels comme des applications financières — répertoires, tutoriels, logiciels pour accéder à des services d'investissement. Ces faux programmes chargeaient des sites frauduleux. D'autres Trojans Android.FakeApp ont été distribués sous le couvert de jeux et, sous certaines conditions, au lieu de la fonctionnalité promise, ils téléchargeaient des sites de bookmakers et de casinos en ligne.

Exemples de chevaux de Troie Android.FakeApp déguisés en applications financières. Android.FakeApp.1889 proposait aux utilisateurs de vérifier leur littératie financière, et Android.FakeApp.1890 invitait les internautes à développer la pensée financière

De plus, nos experts ont trouvé un programme indésirable Program.FakeMoney.16, qui a été distribué sous la forme de l'application Zeus Jackpot Mania. Les utilisateurs de ce logiciel recevaient des récompenses virtuelles, censées pouvoir être converties en argent réel et retirées de l'application.

Program.FakeMoney.16 dans le catalogue Google Play

Pour « retirer » l'argent, le programme a demandé un certain nombre de données, mais aucun paiement n'a finalement été reçu par la victime.

Program.FakeMoney.16 demande un nom d'utilisateur complet et des références de compte bancaire

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.