Doctor Web présente son aperçu de l'activité virale ayant ciblé les appareils mobiles au deuxième trimestre 2025

Selon les statistiques de détection de Dr.Web Security Space pour les appareils mobiles, les chevaux de Troie publicitaires de différentes familles étaient les logiciels malveillants les plus courants au deuxième trimestre 2025. L'activité la plus élevée a été observée de la part des représentants du groupe Android.HiddenAds, malgré le fait que les utilisateurs les rencontraient 8,62% moins souvent. Les trojans publicitaires Android.MobiDash sont en deuxième position, le nombre d'attaques avec leur participation a augmenté de 11,17 %. Les logiciels malveillants Android.FakeApp, qui sont utilisés dans divers stratagèmes frauduleux, suivent les deux premiers groupes — ils ont été détectés sur les appareils protégés 25,17 % moins souvent.

Une augmentation de l'activité des trojans bancaires Android.Banker de 73,15 % par rapport au trimestre précédent a également été enregistrée. Dans le même temps, un certain nombre d'autres familles ont été détectées moins souvent ; par exemple, Android.BankBot — de 37,19 % et Android.SpyMax — de 19,14 %.

En avril, nos analystes ont signalé une campagne à grande échelle visant à dérober des cryptomonnaies aux propriétaires de smartphones Android. Dans ce cadre, les attaquants ont introduit le cheval de Troie Android.Clipper.31 dans le firmware d'un certain nombre d'appareils, le cachant dans une version modifiée de l'application WhatsApp. Ce malware intercepte les messages envoyés et reçus dans le messenger, recherche dans les messages des adresses de portefeuilles cryptographiques Tron et Ethereum et en remplace par des adresses appartenant aux pirates. Le trojan cache cette substitution, et les utilisateurs d'appareils infectés voient dans ces messages des portefeuilles « corrects ». De plus, Android.Clipper.31 envoie toutes les images aux formats jpg, png et jpeg à un serveur distant afin d'y rechercher des phrases mnémoniques pour les portefeuilles cryptographiques des victimes.

Au mois d'avril, nous avons également parlé d'un cheval de Troie espion visant des militaires russes. Le malware Android.Spy.1292.origin сa été dissimulé derrière l'une des versions modifiées du logiciel de cartographie Alpine Quest. Il a été distribué à la fois via un faux canal Telegram appartenant aux attaquants, et via l'un des catalogues russes d'applications Android. Android.Spy.1292.origin transmettait diverses données confidentielles aux attaquants. Parmi celles-ci figuraient des comptes d'utilisateurs, leurs numéros de téléphone portable, les contacts de l'annuaire téléphonique, des informations sur la géolocalisation de l'appareil, ainsi que sur les fichiers qui y ont été stockés. Sur commande des attaquants, le cheval de Troie pouvait voler des fichiers spécifiés. En particulier, les auteurs de virus s'intéressaient aux documents confidentiels transmis par des messagers populaires, ainsi qu'au fichier journal de géolocalisation du programme Alpine Quest.

Au cours du deuxième trimestre, le laboratoire de Doctor Web a révélé de nouvelles menaces sur Google Play. Parmi eux on voit divers chevaux de Troie, ainsi que des logiciels publicitaires indésirables.

Selon les données obtenues par Dr.Web Security Space pour les appareils mobiles

Android.HiddenAds.657.origin

Android.HiddenAds.4214

Android.HiddenAds.4213

Trojans conçus pour afficher des publicités. Les représentant de la famille Android.HiddenAds sont souvent diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires masquent généralement leur présence dans le système, notamment, ils « masquent » l'icône de l'application dans le menu de l'écran d'accueil.

Android.MobiDash.7859

Trojan qui affiche des publicités intempestives. C'est un module de programme que des développeurs de logiciels intègrent dans des applications.

Android.FakeApp.1600

Cheval de Troie qui télécharge un site Web indiqué dans ses paramètres. Les modifications connues de cette application malveillante téléchargent un site Web du casino en ligne.

Program.FakeMoney.11

Applications qui permettent prétendument de gagner de l'argent en effectuant certaines actions ou tâches. Elles imitent l'accumulation de récompenses, alors que pour retirer l'argent « gagné », il est nécessaire d'accumuler un certain montant. Généralement, ils ont une liste de systèmes de paiement et de banques populaires par lesquels il est prétendument possible de transférer des récompenses. Mais même lorsque les utilisateurs parviennent à accumuler un montant suffisant pour le retrait, les paiements promis n'arrivent pas. Cette entrée de la base détecte également d'autres logiciels indésirables basés sur le code de tels programmes.

Program.CloudInject.1

Détection des applications Android modifiées à l'aide du service CloudInject et de l'utilitaire Android du même nom (ajouté à la base de données de virus Dr.Web sous le nom de Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant, tandis que l'utilisateur (moddeur) intéressé à les changer ne contrôle pas ce qui y sera intégré. De plus, les applications reçoivent un ensemble d'autorisations dangereuses. Après la modification, l'utilisateur qui fait du modding (moddeur) reçoit une possibilité de contrôler à distance ces programmes — les bloquer, afficher des boîtes de dialogue personnalisées, suivre l'installation et la désinstallation d'autres logiciels, etc.

Program.FakeAntiVirus.1

Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète.

Program.TrackView.1.origin

Application qui permet de surveiller les utilisateurs via des appareils Android. Avec ce programme, les attaquants peuvent déterminer l'emplacement des appareils ciblés, utiliser la caméra pour enregistrer des vidéos et créer des photos, écouter via le microphone, créer des enregistrements audio, etc.

Program.SecretVideoRecorder.1.origin

Détection de différentes versions de l'application, conçue pour la prise de photos et de vidéos en tâche de fond via les caméras embarquées des appareils Android. Cette appli peut fonctionner discrètement en permettant de désactiver les notifications sur l'activation de l'enregistrement ainsi que modifier l'icône et la description de l'application. Cette fonctionnalité rend ce programme potentiellement dangereux.

Tool.NPMod.3

Tool.NPMod.1

Détection des applications Android modifiées à l'aide de l'utilitaire NP Manager. Ces programmes sont dotés d'un module spécialisé qui leur permet de contourner la vérification de la signature numérique après modification.

Tool.Androlua.1.origin

Détection d'un certain nombre de versions potentiellement dangereuses d'un framework pour le développement de programmes Android utilisant le langage de programmation de script Lua. La logique principale des applications Lua se trouve dans les scripts correspondants, qui sont chiffrés et déchiffrés par l'interpréteur avant exécution. Souvent, ce framework demande par défaut l'accès à de nombreuses autorisations système pour fonctionner. En conséquence, les scripts Lua exécutés via celui-ci sont potentiellement capables d'effectuer diverses actions malveillantes conformément aux autorisations reçues.

Tool.SilentInstaller.14.origin

Plateforme potentiellement dangereuse qui permet aux applications de lancer des fichiers APK sans les installer. Cette plateforme crée un environnement d'exécution virtuel dans le contexte des applications dans lesquelles elles sont intégrées. Les fichiers APK lancés avec leur aide peuvent fonctionner comme s'ils faisaient partie de ces programmes et recevoir automatiquement les mêmes autorisations.

Tool.Packer.1.origin

Utilitaire de compression spécialisé destiné à protéger les applications Android contre la modification et contre le reverse engineering. Il n'est pas malveillant, mais peut être utilisé pour protéger les programmes inoffensifs et les chevaux de Troie.

Adware.ModAd.1

Certaines versions modifiées (mods) du messenger WhatsApp, dont la fonction comprend un code inséré qui assure le téléchargement de liens indiqués via l'affichage Web lors de l'utilisation du messenger. Ces adresses Internet sont utilisées pour rediriger les internautes vers des sites annoncés dans la publicité, par exemple, des casinos en ligne et des bookmakers, des sites pour adultes.

Adware.AdPush.3.origin

Modules publicitaires intégrables dans les applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent ressembler aux messages du système d'exploitation. De plus, ces modules collectent un certain nombre de données confidentielles, et sont également capables de télécharger d'autres applications et d'initier leur installation.

Adware.Basement.1

Applications affichant des publicités indésirables qui redirigent souvent vers des sites malveillants et frauduleux. Ils ont une base de code commune avec les programmes indésirables Program.FakeMoney.11.

Adware.Fictus.1.origin

Module publicitaire que les pirates intègrent dans des versions clonées de jeux et d'applications Android populaires. Son intégration dans les programmes se fait à l'aide d'un packer spécialisé net2share. Les copies du logiciel ainsi créées sont distribuées via divers répertoires d'applications et affichent des publicités indésirables après l'installation.

Adware.Jiubang.1

Logiciel publicitaire indésirable conçu pour les appareils Android, qui, lors de l'installation d'applications, affiche une bannière avec des programmes recommandés pour l'installation.

Menaces sur Google Play

Au cours du deuxième trimestre 2025, les analystes de Doctor Web ont détecté plusieurs dizaines de menaces dans le catalogue Google Play, y compris une variété de faux programmes Android.FakeApp. Ces chevaux de Troie ont de nouveau été activement distribués sous le couvert d'applications financières et au lieu des fonctionnalités promises, ils étaient en mesure de télécharger des sites frauduleux.

Android.FakeApp.1863 et Android.FakeApp.1859 sont des exemples de chevaux de Troie détectés. Le premier a été caché dans le programme TPAO ciblait les utilisateurs turcs, à qui il était proposé de « gérer facilement leurs dépôts et leurs revenus ». Les pirates tentaient de faire passer le deuxième trojan pour un « assistant financier » Quantum MindPro, conçu pour un public francophone

Les jeux restent une autre "couverture" courante pour de tels programmes contrefaits. Sous certaines conditions, au lieu d'exécuter des jeux, ils chargent des sites de casino ou de bookmaker en ligne.

Android.FakeApp.1840 (Pino Bounce) est l'un des faux jeux qui pouvait télécharger un site de casino en ligne

Dans le même temps, nos spécialistes ont identifié un nouveau logiciel publicitaire indésirable Adware.Adpush.21912. Il était caché dans le programme avec des documents d'information sur les cryptomonnaies Coin News Promax. Adware.Adpush.21912 affiche des notifications qui, lorsqu'elles sont cliquées, téléchargent un lien spécifié par le serveur de gestion dans WebView.

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.