Selon Android (Google), ce rapport s’appuie sur des signalements d’utilisateurs de SMS et RCS en 2025 et sur des recherches sur les canaux souterrains. Il met en lumière une économie mondiale de l’arnaque par message, avec des pertes estimées à 400 Md$ (source Global Anti‑Scam Alliance, oct. 2025) et seulement 4% des victimes remboursées. Un sondage YouGov pour Google indique que 94% des personnes ont reçu un SMS d’arnaque, 73% se disent très/extrêmement concernées et 84% estiment ces fraudes très dommageables.

• Catégories dominantes: emplois frauduleux en tête, suivis des factures/abonnements/frais fictifs et des investissements (dont crypto). Autres types notables: livraison de colis, usurpation d’agences gouvernementales, puis plus rarement romance et support technique.

• Méthodes de diffusion: bascule marquée du 1:1 vers le message de groupe (désormais ~5:1), potentiellement pour créer un vernis de légitimité via des complices dans la conversation.

• Temporalité: aux États‑Unis, l’activité commence vers 5 h PT, pic entre 8 h–10 h PT, avec un maximum le lundi, calé sur les débuts de journée de travail et propice aux usurpations d’entreprises.

Deux stratégies de tromperie sont détaillées:

Spray and Pray: volume et urgence. Utilisation de raccourcisseurs d’URL, d’homoglyphes (ex.: PayPaI en remplaçant « l » par « I »), renvoi vers des pages de phishing imitant des marques pour voler identifiants et données de paiement.

Bait and Wait: patience et relationnel (ex.: messages initiaux anodins « Bonjour », « Tu te souviens de moi ? »), ingénierie sociale prolongée (recruteur/faux ami), déplacement vers des apps tierces (marqueur des arnaques « pig butchering ») avant la demande urgente d’argent/données pour maximiser la perte.

Chaîne de valeur criminelle mise au jour:

Acquisition de cibles: listes de numéros issues de fuites/marchés noirs et OSINT. • Infrastructure matérielle: phone farms, SIM prépayées multiples (souvent < 2 USD), marché de SIM d’occasion, extenders/boîtiers SIM pour gérer des dizaines de cartes via un seul appareil. • Logiciels spécialisés & PhaaS: modification d’identifiants d’appareil (IMEI) pour l’évasion, Phishing‑as‑a‑Service fournissant clones de sites régionaux (banques/poste), hébergement, collecte de credentials et analytics de campagne. • Distribution: prestataires d’envoi massif (jusqu’à >1 M de messages/jour à bas coût) connectant l’infrastructure aux victimes.

Dynamique géographique (« Follow the SIMs »): débuts 2025 dominés par des pays anglophones, vague brève depuis la RDC début mars, pivot vers la Turquie en avril, retour aux pays anglophones fin printemps‑juin avec hausse marquée. Au second semestre: nouvelle vague Turquie en juillet, puis bascule vers l’Amérique du Sud dès août (croissance soutenue) et émergence soudaine de l’Indonésie.

Variations par pays (top 3):

• Australie: cadeaux/prix, emplois, crypto/investissements. • Brésil: cadeaux/prix, crypto/investissements, usurpation financière. • Canada: factures/abonnements/frais, livraison de colis, emplois. • France: livraison de colis, usurpation financière, factures/abonnements/frais. • Allemagne: emplois, livraison de colis, agences gouvernementales. • Royaume‑Uni: agences gouvernementales, emplois, factures/abonnements/frais. • États‑Unis: emplois, factures/abonnements/frais, usurpation financière.

TTPs observés:

Smishing (SMS/RCS) en 1:1 et surtout en groupes avec complices. • Ingénierie sociale: urgence, autorité, promesse de gain/menace, relationnel prolongé. • Masquage d’URL: raccourcisseurs, homoglyphes et clones de marques. • Phone farms, rotation de SIM via extenders/boîtiers, modification IMEI pour l’évasion. • PhaaS: hébergement de phishing régionalisé avec analytics. • Migration vers apps tierces (pig butchering) pour échapper aux contrôles. • Ciblage temporel (pics matinaux, lundi), et pivots géographiques rapides de l’approvisionnement en SIM.

Enfin, le rapport propose 3 habitudes pratiques: scepticisme face aux inconnus, ne pas agir dans l’urgence, rester attentif aux alertes/maintenir son appareil à jour et surveiller ses comptes. Il s’agit d’une analyse de menace visant à documenter les tactiques, l’industrialisation et les tendances internationales des arnaques textuelles, et à informer le public.

🧠 TTPs et IOCs détectés

TTP

Smishing (SMS/RCS) en 1:1 et en groupes avec complices, Ingénierie sociale (urgence, autorité, promesse de gain/menace, relationnel prolongé), Masquage d’URL (raccourcisseurs, homoglyphes, clones de marques), Phone farms, rotation de SIM via extenders/boîtiers, modification IMEI pour l’évasion, Phishing-as-a-Service (PhaaS) avec hébergement régionalisé et analytics, Migration vers apps tierces (pig butchering), Ciblage temporel (pics matinaux, lundi), Pivots géographiques rapides de l’approvisionnement en SIM

IOC

Aucun IOC spécifique (hash, domaine, IP) n’est mentionné dans le rapport fourni.

🔗 Source originale : https://security.googleblog.com/2025/10/how-android-protects-you-from-scams.html