Selon Malwarebytes (rapport ThreatDown 2025 State of Malware), 2025 marque une accélération nette des menaces sur Android avec une professionnalisation des campagnes et une industrialisation des vols de données et d’accès.

📈 Tendances clés: les détections d’adware ont presque doublé sur la période juin–novembre 2025 vs décembre 2024–mai 2025, les PUPs ont fortement augmenté, et les malwares ont aussi progressé. Sur l’année précédente, malwares et PUPs représentent ensemble près de 90% des détections Android (≈43% malwares, 45% PUPs, 12% adware). Les attaques par SMS (smishing) et le vol de codes OTP sont désormais déployés à grande échelle.

🔊 Adware en hausse mais relégué au second plan: Android/Adware.MobiDash reste massif et a doublé son volume mensuel entre le début et la fin 2025, avec une hausse de ~77% de septembre à novembre. Malgré ces volumes, l’adware devient un bruit de fond face à des menaces plus intrusives capables de collecter des données et intercepter des messages.

🧩 Vers des chaînes d’attaque modulaires: les cybercriminels combinent droppers, modules d’espionnage et payloads bancaires en kits flexibles. Les infostealers étendent la collecte au-delà des journaux d’appels et de la localisation pour surveiller messageries, navigateurs et interactions financières, créant des profils comportementaux monétisés sur les marchés souterrains. Le RAT Triada a plus que doublé ses détections au second semestre 2025, offrant une persistance et facilitant la fraude sur l’appareil. Les chevaux de Troie bancaires exploitent l’Accessibilité, la fraude in-app et le live screen streaming pour opérer dans la session bancaire du victime, contournant le fingerprinting et certains schémas de MFA. Comparé à 2024, la part des apps Android capables de phishing et de vol d’OTP a grimpé de plusieurs dizaines de points certains mois.

💸 Apps prédatrices: SpyLoan et Albiriox usent de leurres financiers (parfois assistés par IA) promettant des prêts rapides; une fois installées, elles siphonnent contacts, messages, identifiants d’appareil, puis s’en servent pour harcèlement, extorsion ou usurpations multi-plateformes, renforcées par l’accès SMS et notifications.

🛡️ Bonnes pratiques rappelées par le rapport: privilégier les stores officiels (en vérifiant réputation et permissions sensibles: SMS, notifications, Accessibilité, Display over other apps), éviter le sideloading/firmwares gris, appliquer les patchs, traiter les SMS inattendus (paiements/livraisons/urgence) comme suspects, et utiliser un antivirus mobile en temps réel.

Familles/IOCs mentionnés

  • Adware: MobiDash (Android/Adware.MobiDash)
  • RAT/chevaux de Troie: Triada
  • Apps prédatrices: SpyLoan, Albiriox

TTPs observés

  • Chaînage de composants: droppers, modules d’espionnage, payloads bancaires
  • Smishing et vol d’OTP (campagnes à grande échelle)
  • Abus des services d’Accessibilité, fraude sur l’appareil, live screen streaming
  • Surveillance des apps de messagerie, du navigateur et des interactions financières
  • Phishing via applications, collecte de contacts/messages/identifiants d’appareil

Type: analyse de menace visant à dresser l’état des lieux des menaces Android en 2025 et à exposer les techniques et campagnes observées.

🧠 TTPs et IOCs détectés

TTP

[‘Adware distribution’, ‘Use of droppers’, ‘Espionage modules’, ‘Banking payloads’, ‘Smishing’, ‘OTP theft’, ‘Abuse of Accessibility services’, ‘On-device fraud’, ‘Live screen streaming’, ‘Phishing via applications’, ‘Surveillance of messaging apps, browsers, and financial interactions’, ‘Collection of contacts, messages, and device identifiers’]

IOC

[‘Android/Adware.MobiDash’, ‘Triada’, ‘SpyLoan’, ‘Albiriox’]

🔗 Source originale : https://www.malwarebytes.com/blog/mobile/2025/12/android-threats-in-2025-when-your-phone-becomes-the-main-attack-surface