Doctor Web : rapport viral sur les menaces pour appareils mobiles du 1er trimestre 2026
le 1 avril 2026
Les applications dans lesquelles du code inutile a été ajouté pour obscurcir la logique à l'aide d'outils de piratage pour modding de NP Manager se sont largement répandues (15,35 % du nombre total de détections) au cours du premier trimestre.
Depuis l'automne dernier, ces outils sont activement utilisés par la famille de chevaux de Troie Android.Banker.Mamont pour empêcher leur détection par des logiciels antivirus. C'est pourquoi nous vous avertissons si l'une de ces applications a été modifiée. Ce type de logiciel est détecté par les produits antivirus Dr.Web comme Tool.Obfuscator.TrashCode.
Un autre logiciel potentiellement dangereux courant, malgré une diminution de 31,65 % du nombre de détections, était à nouveau un programme modifié à l'aide de l'utilitaire NP Manager (détecté par Dr.Web sous le nom de Tool.NPMod). Cet utilitaire contient divers modules permettant d'obfusquer et de protéger le code du programme, ainsi que de contourner la vérification de leur signature numérique après modification. Les cybercriminels l'utilisent pour protéger des logiciels malveillants afin d'empêcher leur détection par les antivirus.
Les applications indésirables les plus courantes sont de faux programmes antivirus Program.FakeAntiVirus, qui prétendent détecter des menaces et exigent l'achat de la version complète pour les « éliminer ». De plus, les utilisateurs ont de nouveau rencontré des programmes des familles Program.FakeMoney et Program.CloudInject. Les premiers permettent soi-disant de gagner de l'argent en accomplissant diverses tâches. Les seconds sont des logiciels modifiés via le service cloud CloudInject. Il sert à ajouter des autorisations système dangereuses et du code obscurci aux applications, dont le fonctionnement ne peut être contrôlé.
Parmi les logiciels publicitaires, les programmes d'optimisation les plus détectés étaient Adware.Bastion.1.origin. Ils envoient régulièrement des notifications contenant des messages trompeurs concernant de prétendus problèmes de mémoire et des erreurs système. Leur but est d'afficher des publicités pendant les opérations d'« optimisation ». Un autre logiciel publicitaire populaire était l'application Adware.Opensite.15 que les attaquants déguisaient en outils de triche pour obtenir des ressources dans les jeux. En réalité, ces programmes téléchargent divers sites web de publicités. Les programmes dotés de modules publicitaires intégrés, tels que Adware.AdPush, se sont également largement répandus à nouveau.
En janvier, Doctor Web a informé les utilisateurs de l'existence d'Android.Phantom, une nouvelle famille d'applications de type « clicker » basées sur un cheval de Troie. Nos analystes antivirus ont identifié plusieurs sources de diffusion de ce logiciel malveillant. L'une d'elles est GetApps, le catalogue d'applications officiel des appareils Xiaomi, où des chevaux de Troie ont été injectés dans plusieurs jeux. De plus, des cybercriminels ont distribué des programmes de "clicker" ainsi que des versions modifiées d'applications populaires via divers canaux Telegram, serveurs Discord, plateformes de téléchargement de logiciels en ligne et sites web malveillants.
En utilisant Android.Phantom, les attaquants manipulent des clics publicitaires sur les sites web grâce à l'apprentissage automatique et à WebRTC, une technologie permettant de transmettre des données en flux continu (y compris la vidéo) via un navigateur. Les chevaux de Troie chargent des ressources Internet cibles dans une WebView invisible, ainsi que du code JavaScript pour simuler les actions de l'utilisateur. L'interaction avec les publicités se fait selon deux modes. Si l'appareil prend en charge WebRTC, les clickers Android.Phantom diffusent un écran virtuel sur lequel est chargé un site web contrôlé manuellement ou à l’aide d’un système automatisé par les attaquants.
Si WebRTC n'est pas disponible, des scripts JavaScript automatisés utilisant le framework TensorFlowJS sont utilisés. Les programmes de "clicker" téléchargent un modèle comportemental requis depuis un serveur distant, ainsi que le code JavaScript contenant le framework lui-même et toutes les fonctions nécessaires au fonctionnement du modèle et à son interaction avec les sites cibles.
Au cours du premier trimestre, le laboratoire antivirus de Doctor Web a enregistré l'apparition de nouvelles menaces dans le catalogue Google Play. Il s'agit notamment de nombreux chevaux de Troie Android.Joker, ainsi que des logiciels malveillants Android.Subscription.23 et Android.Subscription.24. Ils ont tous été créés pour inciter les utilisateurs à s'abonner à des services payants.
Tendances principales du 1er trimestre
- Les chevaux de Troie bancaires Android.Banker sont devenus les menaces les plus répandues sur Android.
- Les attaquants utilisent de plus en plus les outils de modding des programmes Android pour protéger les chevaux de Troie bancaires.
- L'activité des chevaux de Troie publicitaires Android.MobiDash et Android.HiddenAds a continué de diminuer.
- La propagation des chevaux de Troie Android.Phantom, qui utilisent l'apprentissage automatique et le streaming vidéo pour manipuler les clics sur les sites web.
- Détection de nouvelles applications malveillantes sur Google Play.
Selon les données obtenues par Dr.Web Security Space pour les appareils mobiles
- Android.Banker.Mamont.80.origin
- Cheval de Troie bancaire qui intercepte les SMS contenant des codes à usage unique provenant d'établissements de crédit, le contenu des notifications et collecte d'autres informations confidentielles. Ces informations comprennent des données techniques sur l'appareil infecté, une liste des applications installées, des informations sur la carte SIM, les appels téléphoniques, les SMS reçus et envoyés.
- Android.FakeApp.1600
- Cheval de Troie qui télécharge un site Web indiqué dans ses paramètres. Les modifications connues de cette application malveillante téléchargent un site de casino en ligne.
- Android.HiddenAds.675.origin
- Trojan qui est conçu pour afficher des publicités. Les représentants de la famille Android.HiddenAds sont souvent diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires masquent généralement leur présence dans le système. Ils « masquent » notamment l'icône de l'application dans le menu de l'écran d'accueil.
- Android.Packed.57.origin
- Détection de l'obfuscateur, utilisé notamment pour protéger des applications malveillantes (par exemple, certaines versions du cheval de Troie bancaire Android.SpyMax).
- Android.Click.1812
- Détection des mods malveillants de la messagerie WhatsApp, qui de manière invisible pour l'utilisateur, peut charger différents sites en arrière-plan.
- Program.FakeAntiVirus.1
- Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète.
- Program.FakeMoney.11
- Applications qui permettent prétendument de gagner de l'argent en effectuant certaines actions ou tâches. Elles imitent l'accumulation de récompenses, alors que pour retirer l'argent « gagné », il est nécessaire d'accumuler un certain montant. Elles proposent généralement une liste de systèmes de paiement et de banques populaires par lesquels il serait possible de retirer les récompenses. Mais même lorsque les utilisateurs parviennent à accumuler un montant suffisant pour effectuer un retrait, les paiements promis ne sont pas versés. Cette entrée de la base détecte également d'autres logiciels indésirables basés sur le code de tels programmes.
- Program.CloudInject.5
- Program.CloudInject.1
- Détection des applications Android modifiées à l'aide du service CloudInject et de l'utilitaire Android du même nom (ajouté à la base de données de virus Dr.Web sous le nom de Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant, tandis que l'utilisateur (moddeur) intéressé à les changer ne contrôle pas ce qui y sera intégré. De plus, les applications reçoivent un ensemble d'autorisations dangereuses. Après la modification, l'utilisateur qui fait du modding (moddeur) reçoit une possibilité de contrôler à distance ces programmes — les bloquer, afficher des boîtes de dialogue personnalisées, suivre l'installation et la désinstallation d'autres logiciels, etc.
- Program.SnoopPhone.1.origin
- Application conçue pour surveiller les propriétaires d'appareils Android. Cette appli permet de lire les SMS, de recevoir des informations sur les appels téléphoniques, de suivre les coordonnées de l'appareil et d'effectuer un enregistrement audio de l'environnement.
- Tool.Obfuscator.TrashCode.1
- Tool.Obfuscator.TrashCode.2
- Détection des applications Android ayant subi une injection de code malveillant à l'aide d'outils de modding d'applications utilisés par des pirates informatiques. Cette modification vise à masquer la logique du programme. Cette technique est fréquemment utilisée dans les chevaux de Troie bancaires et les versions piratées de logiciels.
- Tool.NPMod.3
- Tool.NPMod.1
- Détection des applications Android modifiées à l'aide de l'utilitaire NP Manager. Cet utilitaire contient divers modules permettant d'obfusquer et de protéger le code du programme, ainsi que de contourner la vérification de leur signature numérique après modification. L'obfuscation qu'elle ajoute est souvent utilisée dans les logiciels malveillants pour les rendre plus difficiles à détecter et à analyser.
- Tool.LuckyPatcher.2.origin
- Utilitaire qui permet de modifier les applications Android installées (créer des correctifs pour elles) afin de changer la logique de leur fonctionnement ou de contourner certaines restrictions. Il permet notamment, de désactiver la vérification de l'accès root dans les applications bancaires ou d’obtenir des ressources illimitées dans les jeux. Pour créer ces correctifs, l'utilitaire télécharge des scripts spécialement préparés sur Internet, que n'importe qui peut créer et ajouter à la base de données commune. La fonctionnalité de ces scripts peut également être malveillante, c'est pourquoi les correctifs créés peuvent représenter un danger potentiel.
- Adware.Bastion.1.origin
- Détection des programmes d'optimisation qui créent périodiquement des notifications contenant des messages trompeurs concernant une mémoire insuffisante et des erreurs système supposées, afin d'afficher des publicités pendant « l'optimisation ».
- Adware.AdPush.3.origin
- Module publicitaire pouvant être intégré à des applications Android. Il affiche des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent ressembler aux messages du système d'exploitation. De plus, le module collecte un certain nombre de données confidentielles, et est également capable de télécharger d'autres applications et d'initier leur installation.
- Adware.Opensite.15
- Des applications déguisées en outils de triche pour obtenir des ressources dans les jeux. En réalité, elles sont conçues pour afficher des publicités. Ces programmes reçoivent une configuration d'un serveur distant, selon laquelle ils chargent un site web cible avec des publicités (bannières, pop-ups, vidéos, etc.).
- Adware.Fictus.1.origin
- Module publicitaire que les pirates intègrent dans des versions clonées de jeux et d'applications Android populaires. Son intégration dans les programmes se fait à l'aide d'un packer spécialisé net2share. Les copies du logiciel ainsi créées sont distribuées via divers répertoires d'applications et affichent des publicités indésirables après l'installation.
- Adware.Airpush.7.origin
- Modules publicitaires qui sont intégrés dans des applications Android et affichent différentes publicités. Selon leur version et modification, il peut s'agir de publicités, de pop-ups ou de bannières. A l'aide de ces modules, les pirates distribuent souvent des malwares en proposant d'installer des applications. De plus, de tels modules transmettent diverses informations confidentielles à un serveur distant.
Menaces sur Google Play
Au premier trimestre 2026, les spécialistes du laboratoire antivirus Doctor Web ont découvert davantage d'applications malveillantes Android.Joker dans le catalogue Google Play, qui abonnent les victimes à des services payants. Les chevaux de Troie ont été dissimulés dans plusieurs utilitaires d'optimisation Android et distribués sous forme de messageries instantanées, d'applications multimédias et d'autres logiciels. Au total, ces applications ont été téléchargées au moins 370 000 fois par les utilisateurs.
Exemples de logiciels malveillants Android.Joker détectés sur Google Play au premier trimestre Android.Joker.2511 a été intégré dans le messager Private Chat Message, et Android.Joker.2524 a été intégré dans l'application appareil photo Magic Camera.
De plus, nos analystes de virus ont découvert les logiciels malveillants Android.Subscription.23 et Android.Subscription.24, qui sont également conçus pour connecter les utilisateurs à des services payants. Les chevaux de Troie chargent des sites web qui activent des abonnements mobiles payants en utilisant la technologie Wap Click. Ces sites demandent aux utilisateurs un numéro de téléphone portable, puis essaient de se connecter automatiquement au service. Ces deux applications malveillantes ont été téléchargées plus de 1,5 million de fois depuis Google Play.
Les logiciels malveillants Android.Subscription.23 et Android.Subscription.24 ont été distribués sous le couvert des applications de finances personnelles Stream Hive et Prime Link, mais leur seule fonctionnalité consistait à charger des sites Web qui connectaient les propriétaires d'appareils Android à des services mobiles payants.
Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.