Doctor Web présente son Rapport viral sur les menaces ayant ciblé les appareils mobiles au cours du 1er trimestre 2025

Selon les statistiques de détection de Dr.Web Security Space pour les appareils mobiles, les chevaux de Troie publicitaires Android.HiddenAds se sont avérés les logiciels malveillants ciblant Android les plus courants au premier trimestre de 2025. Dans le même temps, par rapport au quatrième trimestre de l'année dernière, ils ont été détectés sur des appareils protégés plus de deux fois plus souvent. La deuxième place revient aux applications malveillantes Android.FakeApp, que les attaquants utilisent dans divers stratagèmes frauduleux ; leur activité a augmenté de près de 8%. Les troisièmes sont les chevaux de Troie publicitaires Android.MobiDash, le nombre de leurs détections a presque été multiplié par 5.

Une dynamique similaire a été observée parmi de nombreux chevaux de Troie bancaires. Ainsi, une augmentation du nombre d'attaques menées par les représentants des familles Android.BankBot et Android.Banker a été constatée : de 20,6% et 151,7% respectivement. Dans le même temps, la détection des Trojans Android.SpyMax, dont l'activité avait augmenté presque tout au long de 2024, a baissé de 41,9 % par rapport au trimestre précédent.

Pendant les 3 derniers mois, les spécialistes de Doctor Web ont détecté des dizaines de nouvelles menaces sur Google Play. Avec le nombre traditionnellement élevé de chevaux de Troie Android.FakeApp, notre Laboratoire a trouvé sur Google Play des programmes malveillants conçus pour voler des crypto-monnaies, ainsi que des Trojans affichant de la publicité intrusive.

Selon les données obtenues par Dr.Web Security Space pour les appareils mobiles

Android.HiddenAds.657.origin

Android.HiddenAds.655.origin

Android.HiddenAds.4214

Trojans conçus pour afficher des publicités. Les représentants de la famille Android.HiddenAds sont souvent diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires masquent généralement leur présence dans le système, notamment, ils « masquent » l'icône de l'application dans le menu de l'écran d'accueil.

Android.FakeApp.1600

Cheval de Troie qui télécharge un site Web indiqué dans ses paramètres. Les modifications connues de cette application malveillante téléchargent un site Web de casino en ligne.

Android.MobiDash.7859

Trojan qui affiche des publicités intempestives. C'est un module de programme que des développeurs de logiciels intègrent dans des applications.

Program.FakeMoney.11

Program.FakeMoney.14

Applications qui permettent prétendument de gagner de l'argent en effectuant certaines actions ou tâches. Leur fonctionnement est bien connu. Ces applis simulent l'accumulation de récompenses, qui doivent permettre d’obtenir un certain montant à atteindre pour récupérer le gain. Généralement, ces applis proposent une liste de systèmes de paiement et de banques populaires par lesquels il est prétendument possible de transformer les récompenses. Mais même lorsque les utilisateurs parviennent à accumuler le montant dit suffisant pour le retrait, les paiements promis n'arrivent pas. Cette entrée de la base détecte également d'autres logiciels indésirables basés sur le code de tels programmes.

Program.FakeAntiVirus.1

Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète.

Program.CloudInject.1

Applications Android modifiées à l'aide du service CloudInject et de l'utilitaire Android du même nom (ajouté à la base de données de virus Dr.Web sous le nom de Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant, tandis que l'utilisateur (moddeur) intéressé à les changer ne contrôle pas ce qui y sera intégré. De plus, les applications reçoivent un ensemble d'autorisations dangereuses. Après la modification, l'utilisateur qui fait du modding (moddeur) reçoit une possibilité de contrôler à distance ces programmes — les bloquer, afficher des boîtes de dialogue personnalisées, suivre l'installation et désinstaller d'autres logiciels, etc.

Program.TrackView.1.origin

Application qui permet de surveiller les utilisateurs via des appareils Android. Avec ce programme, les attaquants peuvent déterminer l'emplacement des appareils ciblés, utiliser la caméra pour enregistrer des vidéos et créer des photos, écouter via le microphone, créer des enregistrements audio, etc.

Tool.NPMod.1

Applications Android modifiées à l'aide de l'utilitaire NP Manager. Ces programmes sont dotés d'un module spécialisé qui leur permet de contourner la vérification de la signature numérique après modification.

Tool.Androlua.1.origin

Versions potentiellement dangereuses d'un framework pour le développement de programmes Android utilisant le langage de programmation de script Lua. La logique principale des applications Lua se trouve dans les scripts correspondants, qui sont chiffrés et déchiffrés par l'interpréteur avant exécution. Souvent, ce framework demande par défaut l'accès à de nombreuses autorisations système pour fonctionner. En conséquence, les scripts Lua exécutés via celui-ci sont potentiellement capables d'effectuer diverses actions malveillantes en fonction des autorisations reçues.

Tool.SilentInstaller.14.origin

Plateforme potentiellement dangereuse qui permet aux applications de lancer des fichiers APK sans les installer. Cette plateforme crée un environnement d'exécution virtuel dans le contexte des applications dans lesquelles elles sont intégrées. Les fichiers APK lancés avec leur aide peuvent fonctionner comme s'ils faisaient partie de ces programmes et recevoir automatiquement les mêmes autorisations.

Tool.LuckyPatcher.1.origin

Utilitaire qui permet de modifier les applications Android installées (créer des correctifs pour elles) afin de changer la logique de leur fonctionnement ou de contourner certaines restrictions. Notamment, avec son aide, les utilisateurs peuvent essayer de désactiver la vérification de l'accès root dans les programmes bancaires ou obtenir des ressources illimitées dans les jeux. Pour créer des correctifs, l'utilitaire télécharge des scripts spécialement préparés sur Internet, que n'importe qui peut créer et ajouter à la base de données commune. La fonctionnalité de ces scripts peut également être malveillante, c'est pourquoi les correctifs créés peuvent constituer un danger potentiel.

Tool.Packer.1.origin

Utilitaire de compression spécialisé destiné à protéger les applications Android contre la modification et contre le reverse engineering. Il n'est pas malveillant, mais peut être utilisé pour protéger les programmes inoffensifs comme les chevaux de Troie.

Adware.ModAd.1

Certaines versions modifiées (mods) du messenger WhatsApp, dont la fonction comprend un code inséré qui assure le téléchargement de liens indiqués via l'affichage Web lors de l'utilisation du messenger. Ces adresses Internet sont utilisées pour rediriger les internautes vers des sites annoncés dans la publicité, par exemple, des casinos en ligne et des bookmakers, des sites pour adultes.

Adware.Basement.1

Applications qui affichent des publicités indésirables qui mènent souvent à des sites malveillants et frauduleux. Ils ont une base de code commune avec les programmes indésirables Program.FakeMoney.11.

Adware.AdPush.3.origin

Adware.Adpush.21846

Modules publicitaires intégrables dans les applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent ressembler aux messages du système d'exploitation. De plus, ces modules collectent un certain nombre de données confidentielles, et sont également capables de télécharger d'autres applications et d'initier leur installation.

Adware.Fictus.1.origin

Module publicitaire que les pirates intègrent dans des versions clonées de jeux et d'applications Android populaires. Son intégration dans les programmes se fait à l'aide d'un packer spécialisé net2share. Les copies du logiciel ainsi créées sont distribuées via divers répertoires d'applications et affichent des publicités indésirables après l'installation.

Menaces sur Google Play

Au cours du 1er trimestre 2025, les analystes de Doctor Web ont détecté quelques dizaines d'applications malveillantes sur Google Play. Parmi elles, on voit diverses modifications des chevaux de Troie Android.HiddenAds.4213 et Android.HiddenAds.4215, qui masquent leur présence sur les appareils infectés et commencent à afficher des publicités par-dessus d'autres programmes et l'interface du système d'exploitation. Ces Trojans ont été dissimulés derrière des applications photo et vidéo avec divers effets, des éditeurs de photos, une collection d'images et un journal de santé féminine.

Trojans publicitaires Android.HiddenAds, cachés dans les programmes Time Shift Cam et Fusion Collage Editor

Nos spécialistes ont également détecté les logiciels malveillants Android.CoinSteal.202, Android.CoinSteal.203 et Android.CoinSteal.206, conçus pour voler des crypto-monnaies et distribués sous le couvert de logiciels officiels des plateformes blockchain Raydium et Aerodrome Finance, ainsi que de la bourse de crypto-monnaies Dydx.

Programmes Raydium et Dydx Exchange — Chevaux de Troie conçus pour voler des crypto-monnaies

Lorsqu'elles sont lancées, les applications malveillantes proposent aux victimes potentielles de saisir une phrase mnémotechnique (seed phrase) apparemment pour se connecter à un portefeuille de crypto-monnaies, mais en fait les données saisies sont transmises aux attaquants. Pour finalement induire les utilisateurs en erreur, les formulaires de saisie de phrases mnémoniques peuvent être déguisés en demandes provenant d'autres plateformes cryptographiques. Comme le montre l'exemple ci-dessous, Android.CoinSteal.206 a démontré un formulaire de phishing prétendument au nom de la bourse cryptographique PancakeSwap.

Dans le même temps, des programmes de contrefaçon de la catégorie Android.FakeApp ont de nouveau été diffusés sur Google Play. Beaucoup d'entre eux ont été présentés par les fraudeurs comme des applications financières, y compris des tutoriels, des outils pour accéder à des services d'investissement et des programmes de comptabilité pour ses finances personnelles. Ces applis ont téléchargé divers sites d'hameçonnage, y compris ceux utilisés par les pirates pour collecter des données personnelles.

Exemples des programmes malveillants Android.FakeApp, distribués sous le couvert de logiciel financier : «Умные Деньги» — Android.FakeApp.1803, Economic Union — Android.FakeApp.1777

D'autres Trojans Android.FakeApp ont téléchargé des sites de bookmakers et de casinos en ligne sous certaines conditions. De telles variantes de logiciels malveillants ont été distribuées sous le couvert de toutes sortes de jeux et d'autres logiciels — par exemple, un simulateur de frappe clavier rapide et un manuel de dessin. Parmi eux figuraient de nouvelles modifications du cheval de Troie Android.FakeApp.1669.

Exemples de logiciels malveillants contrefaits qui, au lieu de la fonctionnalité promise, pourraient charger des sites Web de casinos en ligne et de bookmakerses

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.