Doctor Web : rapport viral de l'année 2025

Le 15 janvier 2026

En 2025, les chevaux de Troie conçus pour afficher de la publicité sont devenus l'une des menaces les plus actives. Les utilisateurs ont également rencontré divers scripts malveillants et applications de type cheval de Troie, qui lancent d'autres logiciels malveillants sur le système infecté. Les chevaux de Troie, les portes dérobées, les exploits, les scripts malveillants et les documents d'hameçonnage ont été les types de menaces les plus fréquemment détectés dans le trafic e-mail.

Parmi les menaces mobiles, les plus répandues sont les chevaux de Troie publicitaires et les faux programmes utilisés dans diverses escroqueries. Une augmentation de l'activité des chevaux de Troie bancaires a également été constatée. Dans le même temps, les analystes de Doctor Web ont détecté des dizaines de nouvelles applications malveillantes, indésirables et publicitaires sur Google Play.

Par rapport à 2024, le nombre de demandes de décryptage de fichiers de la part des utilisateurs a diminué. Dans le même temps, tout au long de l'année, nos analystes Internet ont constaté une augmentation du nombre de sites web frauduleux créés pour voler les comptes d'utilisateurs de la messagerie Telegram. De plus, les sites Web financiers frauduleux sont redevenus très courants.

En 2025, le laboratoire antivirus Doctor Web a enquêté sur plusieurs attaques ciblées, dont l'une a été menée contre une entreprise russe de construction de machines. Lors de l'attaque, les attaquants ont utilisé plusieurs applications malveillantes pour tenter d'obtenir des données confidentielles à partir d'ordinateurs infectés. Nos spécialistes ont déterminé que le groupe de pirates informatiques Scaly Wolf a été impliqué dans l'attaque. Un autre incident s'est produit dans une agence gouvernementale russe, victime d'une attaque du groupe de pirates informatiques Cavalry Werewolf. Les analystes de Doctor Web ont identifié de nombreux outils malveillants utilisés par les attaquants et ont également analysé les caractéristiques du groupe ainsi que leurs actions typiques au sein des réseaux compromis.

Au cours de l'année 2025, Doctor Web a également signalé plusieurs autres incidents de sécurité informatique. En janvier, le laboratoire de Doctor Web a révélé une campagne active d'extraction de la cryptomonnaie Monero, organisée à l'aide de nombreux programmes malveillants. En avril, nous avons signalé la présence d'un cheval de Troie dans le micrologiciel de plusieurs modèles de smartphones Android. En utilisant ce Trojan, les cybercriminels ont volé de la cryptomonnaie. De plus, en avril, nos experts ont identifié un cheval de Troie Android que les attaquants ont introduit dans l'une des versions d'une appli de cartographie populaire et ils l'ont utilisé pour espionner les militaires russes.

En juillet, les experts de Doctor Web ont parlé d’une famille de chevaux de Troie conçue pour voler des crypto-monnaies et des mots de passe. Les attaquants les ont diffusés sous le couvert de mods, de tricheurs et de correctifs pour les jeux. En août, nos analystes de virus ont mis en garde contre la propagation d’une porte dérobée multifonctionnelle ciblant les appareils mobiles, et visant les représentants d’entreprises russes. Les cybercriminels la contrôlaient à distance, pour voler des données confidentielles et traquer les victimes.

En octobre nous avons signalé l'existence d'une porte dérobée ciblant les appareils Android et diffusée par des cybercriminels dans des versions modifiées de l'application Telegram X. Ce logiciel malveillant vole les identifiants et mots de passe des comptes Telegram ainsi que d'autres données confidentielles. En utilisant ce malware, les auteurs de virus peuvent gérer les comptes des victimes piratées et contrôler entièrement la messagerie elle-même, en effectuant diverses actions au nom des utilisateurs.

En décembre dernier, nous avons publié un article sur le cheval de Troie, qui gonfle la popularité des sites web en se faisant passer pour un humain afin d'éviter d'être bloqué par les systèmes de protection anti-bot des plateformes en ligne. Le logiciel malveillant recherche de manière autonome les sites web souhaités dans les moteurs de recherche, les ouvre et clique sur des pages web en fonction des paramètres reçus des attaquants.

L'année 2025 a également vu l'augmentation de la popularité des attaques ClickFix, dans lesquelles les attaquants utilisent l'ingénierie sociale pour inciter les utilisateurs à exécuter du code malveillant sur leurs appareils.

Les événements les plus intéressants de 2025

En janvier 2025, les spécialistes de Doctor Web ont identifié une campagne de minage de la cryptomonnaie Monero utilisant le mineur malveillant SilentCryptoMiner. Ses fichiers ont été dissimulés sous l'apparence de divers logiciels, tels que des programmes de visioconférence Lors de l'infection des ordinateurs, ils supprimaient également les autres mineurs qui auraient pu être installés précédemment sur le système. Dans le cadre de cette campagne, les attaquants ont utilisé la stéganographie, une technique qui permet de dissimuler des données parmi d'autres (par exemple, dans des images), pour diffuser certains des éléments malveillants. Après avoir téléchargé les images spécialement conçues, les composants SilentCryptoMiner correspondants ont été extraits de celles-ci et lancés.

En avril, nos analystes ont signalé le Trojan Android.Clipper.31, qui a été découvert dans le firmware de plusieurs smartphones Android d'entrée de gamme. Les attaquants l'ont intégré dans une version modifiée de la messagerie WhatsApp, qu'ils ont ensuite préinstallée sur des appareils, ayant compromis ainsi la chaîne d'approvisionnement de certains fabricants. Android.Clipper.31 intercepte les messages envoyés et reçus dans le messenger, recherche dans les messages des adresses de portefeuilles cryptographiques Tron et Ethereum et en remplace par des adresses appartenant aux pirates. Le cheval de Troie dissimule la substitution, et les victimes voient les adresses correctes des portefeuilles crypto dans ces messages.

Le même mois, les experts de Doctor Web ont découvert le cheval de Troie Android.Spy.1292.origin, que des attaquants avaient implanté dans une version du programme de cartographie Alpine Quest et utilisé pour espionner le personnel militaire russe. L'application malveillante collectait des informations sensibles et permettait aux attaquants de voler des fichiers sur les appareils infectés.

En juillet, Doctor Web a publié un article sur les chevaux de Troie Trojan.Scavenger conçus pour voler des cryptomonnaies et des mots de passe. Les attaquants les ont distribués sous le couvert de mods, de tricheurs et de correctifs pour les jeux. Ces applications malveillantes ont été lancées à l'aide d'applications légitimes, notamment grâce à l'exploitation des vulnérabilités de classe DLL Search Order Hijacking.

En août, nos analystes ont mis en garde contre la propagation de la porte dérobée multifonctionnelle Android.Backdoor.916.origin ayant ciblé les appareils mobiles, qui visait les représentants d’entreprises russes. L'application malveillante déguisée en antivirus a été diffusée par messages privés sur des messageries instantanées. Une fois installé sur les appareils cibles, Android.Backdoor.916.origin collectait des données sensibles et permettait aux attaquants d'espionner les victimes.

En août, le laboratoire antivirus de Doctor Web a publié une étude sur une attaque ciblée du groupe Scaly Wolf contre une entreprise russe de construction de machines. Les attaquants ont utilisé un certain nombre d'outils malveillants, parmi lesquels la porte dérobée modulaire Updatar est devenue l'un des principaux. Il permettait aux attaquants de collecter des données sensibles à partir d'ordinateurs infectés.

En octobre, les experts de Doctor Web ont parlé de la porte dérobée Android.Backdoor.Baohuo.1.origin, intégrée à des versions modifiées de l'application Telegram X. Android.Backdoor.Baohuo.1.origin vole les identifiants et mots de passe des comptes Telegram, ainsi que d'autres données confidentielles. Ce logiciel malveillant permet aux attaquants de prendre le contrôle total du compte d'un utilisateur et de gérer le messenger en effectuant des actions au nom de la victime. Par exemple, des attaquants peuvent rejoindre et quitter des chaînes Telegram de manière discrète et dissimuler des appareils nouvellement autorisés dans l'interface du cheval de Troie Telegram X.

En novembre, nous avons publié une étude sur une attaque ciblée menée par le groupe de pirates informatiques Cavalry Werewolf contre un établissement public russe. Lors de l'analyse de l'incident, les experts de Doctor Web ont découvert de nombreux outils malveillants utilisés par les cybercriminels, y compris des outils open source. Les analystes ont étudié les caractéristiques du groupe et ont constaté que ses membres préfèrent utiliser des portes dérobées avec fonctionnalité de shell inversé et utilisent souvent l'API Telegram pour contrôler les ordinateurs infectés. Ils lancent également des attaques en envoyant des courriels d'hameçonnage prétendant provenir d'agences gouvernementales et en joignant à ces messages des logiciels malveillants déguisés en divers documents officiels.

En décembre, Doctor Web a publié une étude du logiciel malveillant Trojan.ChimeraWire, qui augmente artificiellement la popularité des sites web en se faisant passer pour un humain. Le cheval de Troie recherche les sites web souhaités sur les moteurs de recherche Google et Bing, les ouvre et clique sur les pages web chargées conformément aux instructions reçues des attaquants. Trojan.ChimeraWire est installé sur les ordinateurs à l'aide d'un certain nombre de programmes malveillants qui exploitent les vulnérabilités de la classe DLL Search Order Hijacking.

Tout au long de l'année 2025, on a constaté une augmentation de la popularité des attaques utilisant la méthode ClickFix. Cette méthode consiste à recourir à l'ingénierie sociale afin d'amener des victimes potentielles à exécuter du code malveillant. Lorsque les utilisateurs arrivent sur un site malveillant ou compromis, celui-ci les informe d'une prétendue erreur ou de la nécessité de mettre à jour leur navigateur et leur propose de « remédier » au problème.

Pour ce faire, les utilisateurs sont invités, selon la variante de l'attaque, à copier les lignes indiquées sur la page ou à cliquer simplement sur le bouton approprié (par exemple, « Mettre à jour » ou « Corriger »). Dans ce dernier cas, le contenu souhaité sera automatiquement copié dans le presse-papiers. Il leur sera ensuite demandé d'ouvrir une invite de commandes ou un terminal PowerShell, d'y coller le contenu du presse-papiers et d'appuyer sur Enter. De ce fait, les victimes exécutent elles-mêmes un code malveillant, ce qui déclenche une chaîne d'infections informatiques. Pour plus d'informations sur les attaques ClickFix, veuillez consulter l'article correspondant sur notre site web.

Situation virale

Selon les statistiques de détection de l'antivirus Dr.Web, en 2025, le nombre total de menaces détectées a augmenté de 5,45% par rapport à 2024. Le nombre de menaces uniques a diminué de 15,89%. Le plus souvent, les utilisateurs ont rencontré divers scripts malveillants et chevaux de Troie publicitaires. De plus, les chevaux de Troie utilisés pour lancer d'autres programmes malveillants se sont largement répandus. Les utilisateurs ont été de nouveau menacés par des applications de type cheval de Troie créées dans le langage de script AutoIt et distribuées dans le cadre d'autres logiciels malveillants afin de les rendre plus difficiles à détecter.

VBS.KeySender.6

VBS.KeySender.7

Script malveillant qui, dans une boucle infinie, recherche des fenêtres avec les textes suivants : mode extensions, разработчика et розробника et leur envoie un événement de clic sur le bouton Échap, les forçant à fermer.

Trojan.BPlug.4242

Composant malveillant de l'extension de navigateur WinSafe. Ce composant est un script JavaScript qui affiche des publicités intrusives dans les navigateurs.

Trojan.Starter.8319

Trojan.Starter.8326

Trojan.Starter.8332

Détection de scripts XML malveillants qui lancent le Trojan Trojan.AutoIt.289 et ses composants.

JS.Siggen5.44590

Code malveillant ajouté à la bibliothèque publique JavaScript es5-ext-main. Affiche un message spécifique si le package est installé sur un serveur avec le fuseau horaire des villes russes.

Trojan.Siggen30.53926

Le processus hôte du framework Electron modifié par les pirates, imitant le composant d'application Steam (Steam Client WebHelper) et chargeant la porte dérobée JavaScript.

JS.MalVpn.1

Un script malveillant utilisé par divers programmes malveillants pour se connecter aux serveurs de contrôle.

Trojan.Siggen31.34463

Cheval de Troie écrit dans le langage de programmation Go et conçu pour charger divers miners et logiciels publicitaires dans le système cible. Le malware est un fichier DLL situé dans %appdata%\utorrent\lib.dll. Pour son lancement, il exploite une vulnérabilité de la classe DLL Search Order Hijacking dans le client torrent uTorrent.

En 2025, les logiciels malveillants les plus fréquemment détectés dans le trafic de messagerie étaient des chevaux de Troie qui téléchargeaient et installaient d'autres logiciels malveillants. Les attaquants ont également diffusé diverses portes dérobées par courrier électronique, des exploits, des documents d'hameçonnage et des scripts malveillants.

W97M.DownLoader.2938

Famille de Trojans Downloaders qui exploitent les vulnérabilités des documents créés dans MS Office. Ils sont conçus pour télécharger d'autres logiciels malveillants sur l'ordinateur attaqué.

Exploit.CVE-2017-11882.123

Exploit.CVE-2018-0798.4

Exploits conçus pour exploiter des vulnérabilités dans le logiciel Microsoft Office et qui permettent l'exécution du code arbitraire.

JS.Phishing.684

JS.Phishing.745

Un script malveillant écrit en JavaScript qui crée une page web de phishing.

BackDoor.AgentTeslaNET.20

Logiciel espion malveillant conçu pour voler des informations confidentielles. Par exemple, il collecte et transmet aux attaquants les identifiants et mots de passe de diverses applications, telles que les navigateurs, les messageries instantanées, les clients de messagerie électronique, les bases de données, etc. Il vole également les données du presse-papiers, intègre une fonction d'enregistrement des frappes au clavier et peut réaliser des captures d'écran.

Win32.Expiro.153

Virus de fichiers qui infecte les fichiers exécutables Windows. Son objectif principal est de voler les mots de passe de divers programmes.

JS.DownLoader.1225

Détection heuristique des archives ZIP contenant des scripts JavaScript aux noms suspects.

Trojan.PackedNET.3223

Détection de logiciels malveillants protégés par un packer.

Trojan.AutoIt.1413

Version packagée d'un cheval de Troie Trojan.AutoIt.289 écrit dans le langage de script AutoIt. Cette version est distribuée dans le cadre d'un groupe de plusieurs applications malveillantes - un miner, une porte dérobée et un module d'auto-propagation. Trojan.AutoIt.289 effectue différentes actions malveillantes qui empêchent la détection de la charge " utile " principale.

Rançongiciels

Par rapport à 2024, le support technique de Doctor Web a reçu 35,98% de demandes en moins de la part d'utilisateurs affectés par un ransomware à chiffrement en 2025. La dynamique d'enregistrement des demandes de décryptage des fichiers est présentée dans le schéma ci-dessous :

Les ransomwares à chiffrement les plus répandus en 2025 :

Trojan.Encoder.35534 (23,22% des demandes)

Rançongiciel connu sous le nom de Mimic. Lors de la recherche de fichiers cibles pour le cryptage, le cheval de Troie utilise la bibliothèque everything.dll du programme Everything, qui est légitime et conçu pour rechercher instantanément des fichiers sur les ordinateurs Windows.

Trojan.Encoder.35209 (3,33% des demandes)

Programme de chiffrement basé sur le code source du cheval de Troie Conti. Il chiffre des fichiers à l'aide de l'algorithme ChaCha20. Suite à la destruction de plusieurs serveurs de commande et de contrôle des attaquants et à la divulgation de clés de chiffrement RSA privées pour certaines modifications de ce logiciel malveillant, le déchiffrement des fichiers affectés est désormais possible.

Trojan.Encoder.35067 (2,50% des demandes)

Un ransomware à chiffrement connu sous le nom de Macop (l'une des variantes de ce cheval de Troie est Trojan.Encoder.30572). Il est de petite taille, environ 30-40 Ko. Cela est dû en partie au fait que le cheval de Troie ne comporte pas de bibliothèques cryptographiques tierces et n'utilise que des fonctions CryptoAPI pour le cryptage et la génération de clés. Il utilise l'algorithme AES-256 pour crypter les fichiers, et les clés elles-mêmes sont cryptées avec RSA-1024.

Trojan.Encoder.41868 (2,31% des demandes)

Logiciel de chiffrement, dont des artefacts indiquent l'implication du groupe de pirates informatiques C77L.v. dans sa création.

Trojan.Encoder.29750 (2,13% des demandes)

Cheval de Troie de type ransomware existant en plusieurs versions. Ses modifications actuelles chiffrent les fichiers à l'aide de l'algorithme AES-256+RSA.

Fraudes sur le Web

En 2025, les analystes de Doctor Web ont observé une augmentation du nombre de sites d'hameçonnage créés pour voler des comptes de messagerie Telegram. Les attaquants ont utilisé diverses techniques : fausses pages d’authentification et d’autorisation, faux messages du support Telegram signalant de prétendues violations dans l’utilisation du messenger et la nécessité de « vérifier » le compte, etc.

Voici un exemple de site d'hameçonnage vous informant que vous devez vérifier votre compte Telegram suite à une violation des conditions d'utilisation du service.

Des sites web similaires ont également été créés pour les utilisateurs d'autres services, tels que les plateformes de jeux, les boutiques en ligne, etc. Ces faux sites pouvaient ressembler à de véritables ressources en ligne et inciter les utilisateurs à se connecter à leurs comptes.

Si les utilisateurs tombaient dans le piège, des informations confidentielles se retrouvaient entre les mains des attaquants.

Un faux site web Steam affiche un formulaire d'hameçonnage demandant la saisie d'un identifiant et d'un mot de passe.

Les utilisateurs se sont de nouveau retrouvés confrontés à diverses ressources frauduleuses en ligne proposant toutes sortes de cadeaux et de bonus, ainsi que la participation à certaines « promotions lucratives ». Les faux sites web de places de marché russes se sont multipliés, proposant aux visiteurs de participer à des " tirages au sort ". Les « gains » sur ces faux sites ont été programmés, et pour les « recevoir », la victime devait effectuer un certain paiement, par exemple, soi-disant sous forme de taxe, puis pour la livraison des biens et leur assurance. Dans d'autres versions de l'escroquerie, le produit désiré était soi-disant indisponible, mais un équivalent en espèces a été proposé à sa place. Pour « recevoir » l'argent, l'utilisateur devait également effectuer un certain nombre de paiements : frais, assurance, etc. La victime n'a finalement rien reçu.

Voici un exemple de faux site de vente en ligne proposant un « tirage au sort ».

Des variantes de ces stratagèmes incluaient de faux sites web d'entreprises de transport ciblant les résidents britanniques. Ils proposaient de participer à un tirage au sort pour des cartes de transport, censément organisé à l'occasion d'un certain événement et prétendument permettant l'utilisation gratuite des transports publics. Après avoir « gagné », les escrocs demandaient à leurs victimes de fournir des informations personnelles et de payer une petite « commission ».

Un site web frauduleux, prétendant appartenir à une entreprise de transport, propose de participer à un « tirage au sort de tickets ».

Toutes sortes de sites web financiers frauduleux restent d'actualité. Les ressources proposant de gagner de l'argent en négociant sur le marché à l'aide de systèmes automatisés basés sur des soi-disant algorithmes uniques et des technologies d'intelligence artificielle ont de nouveau connu un grand succès auprès des pirates informatiques. Ces sites web sont créés en visant les résidents de nombreux pays. Le plus souvent, ils demandent des informations personnelles pour enregistrer une « demande » ou un « compte », puis ces informations tombent entre les mains de criminels qui les utilisent à leur guise. Ils peuvent ensuite revendre les données ou continuer à attirer des victimes potentielles vers un faux service d'investissement, en exigeant qu'elles déposent de l'argent sur un compte de « trading ».

L'un des sites web frauduleux proposant l'accès à une « plateforme d'investissement » basée sur des technologies d'intelligence artificielle a été prétendument lié à Apple.

Bon nombre de ces sites sont construits à partir de modèles similaires, comme une fausse conversation avec un « assistant virtuel » ou un « employé » d'une entreprise particulière, censément au nom duquel les escrocs contactent la victime potentielle. L'utilisateur est invité à répondre à une série de questions, puis à fournir des informations personnelles.

Sur l'un de ces sites web, les escrocs proposaient aux utilisateurs français l'accès à un logiciel de trading automatisé inexistant appelé TraderAI, qui leur permettrait de gagner 3 500 € minimum.

Une ressource faisait la promotion d'un service d'investissement prétendument intégré directement à la messagerie Telegram. Le site promettait un revenu de 10 000 € par mois grâce au trading automatisé d’actions de sociétés internationales « directement dans le navigateur de votre téléphone ».

Un site web frauduleux invite à rejoindre une « plateforme Telegram » qui prétend négocier des actions de manière indépendante.

Les escrocs proposaient également à leurs victimes potentielles de gagner de l'argent grâce à des « robots de trading » prétendument créés avec la participation de grandes entreprises et de services tels que Telegram, WhatsApp, TikTok et autres.

Voici un exemple de site web qui invitait les utilisateurs à utiliser un robot de trading inexistant, soi-disant lié à la messagerie WhatsApp.

Tout au long de l'année 2025, nos analystes internet ont identifié de nouveaux sites web frauduleux proposant des investissements dans le secteur pétrolier et gazier à des utilisateurs de nombreux pays, dont la Russie, la CEI et l'Europe. Sur ces sites web, les victimes potentielles sont souvent invitées à fournir des informations personnelles : prénom, nom, numéro de téléphone portable, adresse électronique, etc.

Un site web frauduleux ciblant les citoyens kirghizes leur offre la possibilité de « gagner de l'argent grâce au pétrole et au gaz », promettant des profits importants.

Des sites web frauduleux proposant de recevoir une « aide gouvernementale » sous forme de paiements ou d'indemnisation, ont refait surface. Par exemple, des ressources frauduleuses prétendument liées au portail Gosuslugi ont été diffusées sur la partie russe d'Internet.

Voici un exemple de site web frauduleux se prétendant lié au service « Gosuslugi » et promettant aux utilisateurs russes des paiements stables de la part du gouvernement et d'une grande compagnie pétrolière et gazière. Pour « participer » au programme de paiement, la victime devait fournir des informations personnelles

Nos experts ont également constaté l'apparition de nouveaux sites web frauduleux se présentant comme des projets éducatifs.
Ils proposaient aux utilisateurs diverses formations pour améliorer leurs connaissances financières, apprendre un métier, etc. Pour « accéder » à la formation, les victimes potentielles, devaient fournir des informations personnelles, comme dans de nombreuses autres arnaques similaires.

L'un des sites web frauduleux proposait des cours d'anglais.

Les analystes internet de Doctor Web ont identifié de nouveaux sites web frauduleux vendant des billets de théâtre. Sur ces sites, les escrocs proposent aux victimes potentielles des billets à des prix avantageux. Mais en réalité, après le « paiement », les utilisateurs ne reçoivent rien.

Exemple de site web frauduleux vendant des billets de théâtre inexistants

Par ailleurs, de nouveaux sites web frauduleux se faisant passer pour des cinémas privés se sont également multipliés. Comme pour les billets de théâtre, les escrocs proposent à leurs victimes potentielles des billets de cinéma, mais ces dernières finissent par leur remettre leur argent.

Un faux site web d'un cinéma privé

Сiblant les appareils mobiles

Selon les statistiques de détection de Dr.Web Security Space pour les appareils mobiles, en 2025, les utilisateurs Android ont le plus souvent rencontré les chevaux de Troie publicitaires Android.MobiDash et Android.HiddenAds, ainsi que les faux programmes Android.FakeApp, qui, au lieu d'exécuter leurs fonctionnalités annoncées, peuvent charger divers sites Web, y compris des sites frauduleux et malveillants. Une augmentation de l'activité des applications du cheval de Troie Android.Triada a également été constatée. Ces Trojans sont des menaces multifonctionnelles que les attaquants intègrent dans le micrologiciel des appareils Android. De plus, on a constaté une augmentation du nombre d'attaques menées par le cheval de Troie bancaire Android.Banker. Dans le même temps, l'activité des Trojans bancaires Android.SpyMax a diminué.

L'année dernière, les auteurs de virus ont continué à utiliser diverses techniques pour protéger des logiciels malveillants contre le système d'exploitation Android. L'une d'elles était une méthode de conversion du code DEX en code C (connue sous le nom de DCC ou DEX to C).

Les applications indésirables les plus courantes étaient Program.FakeMoney. Ils offrent aux utilisateurs une possibilité d'accomplir diverses tâches en échange de récompenses virtuelles et promettent de convertir ces récompenses en argent réel. Mais en réalité, ils n'ont pas cette possibilité. De plus, les applications Program.FakeAntiVirus.1 et Program.CloudInject.1 ont été fréquemment détectées sur des appareils protégés. Les premiers imitent le fonctionnement des programmes antivirus et détectent des menaces inexistantes, proposant de « guérir » l'infection en achetant la version complète du logiciel. Les secondes sont des applications qui ont été modifiées via un service cloud populaire. Lorsqu'elles sont modifiées, elles sont complétées par des permissions système dangereuses et par un code obscurci dont la finalité est incontrôlable.

Les programmes modifiés à l'aide de l'utilitaire NP Manager (détectés sous le nom Tool.NPMod), sont devenus les logiciels potentiellement dangereux les plus répandus. Cet utilitaire masque le code des applications modifiées et leur permet de contourner la vérification de signature numérique. Les programmes publicitaires les plus actifs en 2025 étaient des modifications tierces de WhatsApp (Adware.ModAd.1), qui ouvraient automatiquement des liens publicitaires lors de l'utilisation du messenger.

En 2025, de nouveaux cas d'infection du micrologiciel d'appareils Android ont été identifiés. Notre société a informé de l'un d'eux en avril. Des pirates ont préinstallé l'application malveillante Android.Clipper.31 dans la zone système de plusieurs modèles de smartphones d'entrée de gamme et l'ont utilisée pour voler les cryptomonnaies des utilisateurs. D'autres attaquants ont réussi à injecter des chevaux de Troie dangereux Android.Triada dans le firmware d'autres modèles de smartphones Android. De plus, il y a eu d'autres cas d'infection du micrologiciel des décodeurs Android TV par de nouvelles versions du cheval de Troie Android.Vo1d, que notre société a détecté en 2024.

Au cours de l'année écoulée, le laboratoire antivirus Doctor Web a identifié un certain nombre d'applications malveillantes dangereuses. En avril, nous avons signalé le cheval de Troie Android.Spy.1292.origin, qui se cachait dans le programme de cartographie Alpine Quest modifié par des auteurs de virus et qui attaquait le personnel militaire russe. Android.Spy.1292.origin transmettait aux attaquants des données concernant le numéro de téléphone portable et les comptes, collectait les contacts du répertoire téléphonique, la géolocalisation de l'appareil infecté et des informations sur les fichiers stockés sur celui-ci. Il pouvait voler des fichiers spécifiques sur commande des attaquants. En particulier, les pirates s'intéressaient aux documents confidentiels transmis par des messagers populaires, ainsi qu'au fichier journal de géolocalisation du programme Alpine Quest.

En août, nos spécialistes ont mis en garde contre la porte dérobée Android.Backdoor.916.origin, que les attaquants dissimulaient sous l'apparence d'un programme antivirus et distribuaient par le biais de messages privés sur des applications de messagerie instantanée. Android.Backdoor.916.origin vole des informations confidentielles et permet la surveillance des utilisateurs. Cette porte dérobée visait principalement les employés d'entreprises russes.

En octobre, nous avons signalé la présence de la porte dérobée multifonctionnelle Android.Backdoor.Baohuo.1.origin, découverte par nos analystes dans des versions modifiées de l'application Telegram X. Ce logiciel malveillant est également utilisé pour dérober des données confidentielles, notamment les identifiants et mots de passe Telegram, les SMS entrants, les conversations et les données du presse-papiers. Cette porte dérobée permet aux attaquants de contrôler entièrement la messagerie et de surveiller le compte Telegram piraté de la victime. Pour contrôler la porte dérobée, les cybercriminels ont utilisé à la fois un serveur C2 et une base de données Redis, ce qui n’avait jamais été observé auparavant dans les menaces Android. Android.Backdoor.Baohuo.1.origin ciblait principalement les résidents d'Indonésie et du Brésil.

Pour en savoir plus sur la situation virale et les menaces ciblant les appareils mobiles en 2025, consultez notre rapport.

Perspectives et tendances probables

En 2026, l'une des menaces les plus courantes pour les utilisateurs restera probablement les chevaux de Troie publicitaires, que les cybercriminels utilisent pour générer des revenus illégaux. On peut s'attendre à ce que les cybercriminels utilisent de plus en plus les chevaux de Troie bancaires, qui leur permettent également de s'enrichir.

La popularité de divers outils et techniques permettant de dissimuler des activités malveillantes pourrait encore augmenter. Ces techniques incluent l'utilisation de packers et d'obfuscateurs, l'utilisation de droppers de logiciels malveillants et de chargeurs multi-étapes, ainsi que l'utilisation de la stéganographie pour dissimuler la charge utile. De plus, lors de la création de logiciels malveillants, les cybercriminels, y compris ceux ayant peu d'expérience en programmation, auront de plus en plus recours à l'aide d'assistants IA. Par conséquent, de nouvelles familles de logiciels malveillants apparaîtront et le nombre de menaces augmentera.

Les structures gouvernementales et corporatives seront à nouveau visées, ce qui entraînera de nouvelles attaques ciblées. De nouveaux cas d'infection du micrologiciel des smartphones Android, des décodeurs TV et d'autres types d'appareils mobiles sont également probables, notamment dans le segment d'entrée de gamme. Les fraudeurs sur Internet resteront actifs.