Doctor Web : rapport viral sur les menaces pour appareils mobiles du 2e trimestre 2026
le 13 juillet 2026
Au cours des trois derniers mois, l'activité des chevaux de Troie publicitaires des familles Android.MobiDash et Android.HiddenAds a continué de diminuer. Cependant, ils figurent toujours parmi les applications Android malveillantes les plus fréquemment rencontrées, et certaines de leurs variantes se classent encore parmi les plus détectées.
Les logiciels potentiellement dangereux les plus courants, représentant plus de 66 % des cas, étaient, une fois encore, des programmes dans lesquels du code inutile avait été ajouté pour obscurcir la logique (ils sont détectés comme Tool.Obfuscator.TrashCode). Cette modification est effectuée à l'aide d’outils de piratage pour le modding de NP Manager. Ces outils sont également utilisés par les cybercriminels pour protéger les logiciels malveillants, tels que le cheval de Troie bancaire Android.Banker.Mamont, contre la détection par les logiciels antivirus.
En deuxième position, on trouve les applications également modifiées à l'aide de l'utilitaire NP Manager, mais en exploitant d'autres fonctionnalités. Cet outil comprend notamment divers modules permettant de protéger et d'obfusquer le code source, ainsi que de contourner la vérification de signature numérique après modification des applications. Les auteurs de virus utilisent cette fonctionnalité pour protéger les logiciels malveillants contre la détection par les logiciels antivirus. Les produits antivirus Dr.Web détectent les programmes modifiés de cette manière, comme Tool.NPMod.
Parmi les applications potentiellement dangereuses les plus courantes figuraient à nouveau des programmes modifiés à l'aide de l'utilitaire Tool.LuckyPatcher. Pour les modifier, l'utilitaire télécharge sur Internet des scripts spécialement préparés.
Au deuxième trimestre, les programmes indésirables les plus actifs étaient des applications du type Program.FakeAntiVirus, qui imitent les logiciels antivirus. Elles prétendent détecter certaines menaces et proposent ensuite d'acheter une version complète pour les « combattre ». Ces contrefaçons représentaient plus de 44 % des logiciels indésirables détectés sur les appareils Android.
Le logiciel publicitaire le plus courant est constitué de modules Adware.AdPush pouvant être intégrés aux applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Ces modules collectent également diverses données confidentielles. De plus, les utilisateurs continuaient de rencontrer des programmes d'optimisation Adware.Bastion.1.origin. Ces programmes généraient régulièrement des notifications contenant des messages trompeurs concernant de prétendues erreurs système et une mémoire vive insuffisante. Ces applications affichent des publicités pendant l'« optimisation ». Les programmes publicitaires Adware.Opensite.15 sont également restés très actifs. Les attaquants les présentent comme des applications de triche (cheat) pour les jeux qui permettraient d'obtenir des ressources dans les jeux, mais en réalité, les programmes ne chargent que des sites avec des publicités.
Début juin, les spécialistes de Doctor Web ont signalé l'existence d'Android.MagicAd.1, un cheval de Troie capable de contourner les restrictions du système d'exploitation Android et d'afficher des publicités en arrière-plan. Pour ce faire, Android.MagicAd.1 exploite des applications tierces et utilise des techniques spécifiques selon le fabricant de l'appareil infecté. Plus d'informations sur ce cheval de Troie sont disponibles dans l'article dédié sur notre site web.
Au cours du deuxième trimestre, les analystes de Doctor Web ont découvert de nouveaux logiciels malveillants dans le catalogue Google Play, qui abonnaient les victimes à des services payants. Parmi eux se trouvent des Trojans des familles Android.Subscription et Android.Joker.
Tendances principales du deuxième trimestre
- Les Trojans bancaires Android.Banker restent le malware le plus courant ciblant l'OS Android.
- Les auteurs de virus ont continué à utiliser activement des outils de modification de logiciels Android pour protéger les chevaux de Troie bancaires contre la détection par les antivirus.
- L'activité des chevaux de Troie publicitaires Android.MobiDash et Android.HiddenAds a de nouveau diminué.
- Le cheval de Troie Android.MagicAd.1 a été découvert ; il utilise des applications tierces pour contourner les restrictions du système d'exploitation Android et afficher des publicités en arrière-plan.
- De nouvelles applications malveillantes sont apparues sur Google Play.
Selon les données obtenues par Dr.Web Security Space pour les appareils mobiles
- Android.Click.1812
- Détection des mods malveillants de la messagerie WhatsApp, qui de manière invisible pour l'utilisateur peut charger différents sites en arrière-plan.
- Android.HiddenAds.675.origin
- Android.HiddenAds.4236
- Trojan conçu pour afficher des publicités. Les représentants de la famille Android.HiddenAds sont souvent diffusés sous couvert d'applications inoffensives et, dans certains cas, ils sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires masquent généralement leur présence dans le système. Ils « masquent » l'icône de l'application dans le menu de l'écran d'accueil.
- Android.Banker.Mamont.80.origin
- Cheval de Troie bancaire qui intercepte les SMS contenant des codes à usage unique provenant d'établissements de crédit, le contenu des notifications et collecte d'autres informations confidentielles. Ces informations comprennent des données techniques sur l'appareil infecté, une liste des applications installées, des informations sur la carte SIM, ainsi que les appels téléphoniqueset les SMS reçus et envoyés.
- Android.FakeApp.1600
- Cheval de Troie qui télécharge un site Web indiqué dans ses paramètres. Les modifications connues de cette application malveillante téléchargent un site Web du casino en ligne.
- Program.FakeAntiVirus.1
- Program.FakeAntiVirus.4
- Program.FakeAntiVirus.4.origin
- Program.FakeAntiVirus.5
- Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète.
- Program.FakeMoney.11
- Applications qui permettent prétendument de gagner de l'argent en effectuant certaines actions ou tâches. Elles imitent l'accumulation de récompenses, alors que pour retirer l'argent « gagné », il est nécessaire d'avoir accumulé un certain montant. Généralement, ils proposent une liste de systèmes de paiement et de banques populaires par lesquels il est prétendument possible de retirer des récompenses. Mais même lorsque les utilisateurs parviennent à accumuler un montant suffisant pour le retrait, les paiements promis ne sont pas effectués. Cette entrée de la base de données détecte également d'autres logiciels indésirables basés sur le code de tels programmes.
- Tool.Obfuscator.TrashCode.1
- Tool.Obfuscator.TrashCode.2
- Détection des applications Android ayant subi une injection de code malveillant à l'aide d'outils de modding d'applications utilisés par des pirates informatiques. Cette modification vise à masquer la logique du programme. Cette technique est fréquemment utilisée dans les chevaux de Troie bancaires et les versions piratées de logiciels.
- Tool.NPMod.3
- Tool.NPMod.1
- Détection des applications Android modifiées à l'aide de l'utilitaire NP Manager. Cet utilitaire contient divers modules permettant d'obfusquer et de protéger le code du programme, ainsi que de contourner la vérification de leur signature numérique après modification. L'obfuscation qu'elle ajoute est souvent utilisée dans les logiciels malveillants pour les rendre plus difficiles à détecter et à analyser.
- Tool.LuckyPatcher.2.origin
- Utilitaire qui permet de modifier les applications Android installées (créer des correctifs pour elles) afin de changer la logique de leur fonctionnement ou de contourner certaines restrictions. Avec son aide, les utilisateurs peuvent notamment essayer de désactiver la vérification de l'accès root dans les programmes bancaires ou obtenir des ressources illimitées dans les jeux. Pour créer des correctifs, l'utilitaire télécharge des scripts spécialement préparés sur Internet, que quiconque peut créer et ajouter à la base de données commune. La fonctionnalité de ces scripts peut également être malveillante, c'est pourquoi les correctifs créés peuvent constituer un danger potentiel.
- Adware.Bastion.1.origin
- Détection des programmes d'optimisation qui créent périodiquement des notifications contenant des messages trompeurs concernant une mémoire insuffisante et des erreurs système supposées, afin d'afficher des publicités pendant « l'optimisation ».
- Adware.Opensite.15
- Des applications déguisées en outils de triche pour obtenir des ressources dans les jeux. En réalité, elles sont conçues pour afficher des publicités. Ces programmes reçoivent une configuration d'un serveur distant, selon laquelle ils chargent un site web cible avec des publicités (bannières, pop-ups, vidéos, etc.).
- Adware.AdPush.3.origin
- Module publicitaire pouvant être intégré à des applications Android. Il affiche des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent ressembler aux messages du système d'exploitation. De plus, le module collecte un certain nombre de données confidentielles, et est également capable de télécharger d'autres applications et d'initier leur installation.
- Adware.Fictus.1.origin
- Module publicitaire que les pirates intègrent dans des versions clonées de jeux et d'applications Android populaires. Son intégration dans les programmes se fait à l'aide d'un packer spécialisé net2share. Les copies du logiciel ainsi créées sont distribuées via divers répertoires d'applications et affichent des publicités indésirables après l'installation.
- Adware.Airpush.7.origin
- Modules publicitaires qui sont intégrés dans des applications Android et affichent différentes publicités. Selon leur version et modification, il peut s'agir de publicités, de pop-ups ou de bannières. A l'aide de ces modules, les pirates distribuent souvent des malwares en proposant d'installer des applications. De plus, de tels modules transmettent diverses informations confidentielles à un serveur distant.
Menaces sur Google Play
Au cours du deuxième trimestre 2026, les analystes de virus de Doctor Web ont découvert plusieurs nouveaux chevaux de Troie Android.Subscription dans le catalogue Google Play qui abonnent les utilisateurs à des services payants. Ils étaient distribués sous le couvert de divers logiciels : le cinéma en ligne ShowLounge - TV & Dramas (Android.Subscription.25), les programmes pour joueurs AIM : Crosshair Asist (Android.Subscription.26), les jeux True Cargo Drive (Android.Subscription.27), les utilitaires Battery 3D: Charge Effects (Android.Subscription.28) et l'éditeur d'image PixStudio - Photo Editor (Android.Subscription.29). Au total, ils ont été téléchargés au moins 2 600 000 fois.
Exemples de chevaux de Troie Android.Subscription détectés sur Google Play au deuxième trimestre 2026
Ces applications malveillantes redirigent vers des sites web qui utilisent la technologie WapClick pour connecter les internautes à des services mobiles payants. Les victimes potentielles sont invitées à saisir leur numéro de téléphone mobile, puis une tentative d'activation du service correspondant est effectuée.
Les chevaux de Troie Android.Joker, qui abonnent également les victimes à des services payants, ont de nouveau été distribués sur Google Play. Les attaquants les ont fait passer pour des messageries instantanées Chat Messages (Android.Joker.2625) et Easy Messages (Android.Joker.2632), ainsi que pour des utilitaires d'optimisation système Smart File Cleaner, Junk Clean Master et Fast Cleaner (Android.Joker.2614, Android.Joker.2618 et Android.Joker.2626, respectivement).
L'une des applications malveillantes qui dissimulaient la famille de chevaux de Troie Android.Joker
Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.