Android

Selon RSF Digital Security Lab (Reporters sans frontières), en collaboration avec RESIDENT.NGO et avec un appui d’Amnesty International Security Lab, un nouveau spyware Android nommé « ResidentBat » a été mis au jour après l’infection du téléphone d’un journaliste biélorusse au T3 2025, consécutive à une saisie par le KGB. • Le spyware, empaqueté en APK et installé via accès physique (pas d’exploits), abuse de permissions étendues et d’un service d’accessibilité pour collecter des SMS, appels entrants/sortants (avec enregistrement d’appels), fichiers, photos/vidéos, microphone, captures d’écran/vidéo (MediaProjection), presse-papiers (jusqu’à Android 10), localisation, notifications et contenus d’apps (messageries comme Telegram, Viber, Skype, VK, Signal, WhatsApp, etc.). Il se déclare Device Admin, peut verrouiller ou effacer l’appareil, et persiste en service au premier plan. ...

Selon Malwarebytes (rapport ThreatDown 2025 State of Malware), 2025 marque une accélération nette des menaces sur Android avec une professionnalisation des campagnes et une industrialisation des vols de données et d’accès. 📈 Tendances clés: les détections d’adware ont presque doublé sur la période juin–novembre 2025 vs décembre 2024–mai 2025, les PUPs ont fortement augmenté, et les malwares ont aussi progressé. Sur l’année précédente, malwares et PUPs représentent ensemble près de 90% des détections Android (≈43% malwares, 45% PUPs, 12% adware). Les attaques par SMS (smishing) et le vol de codes OTP sont désormais déployés à grande échelle. ...

Selon Forbes, Google a confirmé le 1er décembre des attaques en cours contre Android et a publié une mise à jour d’urgence pour les Pixel, tandis que la plupart des utilisateurs Samsung n’ont pas encore accès aux correctifs; la CISA a émis un avertissement le lendemain en exigeant des mises à jour ou l’arrêt d’usage des téléphones par le personnel fédéral. • Google indique que CVE-2025-48633 et CVE-2025-48572 « peuvent faire l’objet d’une exploitation limitée et ciblée », permettant un déni de service à distance sur les smartphones visés, sans privilèges d’exécution supplémentaires. ⚠️📱 ...

Selon BleepingComputer, le client YouTube open source SmartTube pour Android TV a été compromis après qu’un attaquant a obtenu les clés de signature du développeur, poussant une mise à jour malveillante vers les utilisateurs. Play Protect a commencé à bloquer l’application, et le développeur, Yuriy Yuliskov, a confirmé la compromission, a révoqué l’ancienne signature et prévoit une nouvelle version avec un nouvel ID d’application. 🤖🔑 Sur la version 30.51, un utilisateur a identifié une bibliothèque native cachée, « libalphasdk.so » (absente du code source public), injectée dans les builds de release. Cette bibliothèque s’exécute en silencieux, effectue un fingerprinting du dispositif, enregistre l’appareil auprès d’un backend distant, et envoie périodiquement des métriques tout en récupérant une configuration via un canal chiffré. Aucune preuve d’activités plus intrusives (vol de comptes, DDoS) n’est rapportée, mais le risque d’escalade reste élevé. ⚠️ ...

Source: ThreatFabric — ThreatFabric publie une analyse d’un nouveau malware bancaire Android privé nommé « Sturnus », actuellement en phase d’évaluation limitée mais déjà pleinement fonctionnel et ciblant des banques d’Europe du Sud et d’Europe centrale. • Profil de la menace. Sturnus est un trojan bancaire Android doté de prise de contrôle complète de l’appareil (VNC/hVNC), de vol de justificatifs via overlays HTML et d’une surveillance poussée des messageries chiffrées (WhatsApp, Telegram, Signal). Son différenciateur clé: il contourne le chiffrement E2E en capturant ce qui est affiché après déchiffrement (écran et arbre UI), offrant aux opérateurs une visibilité en temps réel des conversations. 🎯📱 ...

D3Lab a découvert un faux site imitant le Google Play Store destiné à distribuer une application Android frauduleuse nommée GPT Trade, se présentant comme un assistant de trading basé sur l’IA et utilisant un branding ressemblant à OpenAI/ChatGPT. En réalité, l’APK est un dropper multi-étapes conçu pour installer deux malwares puissants : BTMob (spyware Android très invasif) UASecurity Miner (module persistant lié à un packer Android abusé par les cybercriminels) Cette campagne illustre un écosystème moderne combinant phishing d’app store, packer-as-a-service, Telegram bots et infrastructure multi-C2. ...

Selon Android (Google), ce rapport s’appuie sur des signalements d’utilisateurs de SMS et RCS en 2025 et sur des recherches sur les canaux souterrains. Il met en lumière une économie mondiale de l’arnaque par message, avec des pertes estimées à 400 Md$ (source Global Anti‑Scam Alliance, oct. 2025) et seulement 4% des victimes remboursées. Un sondage YouGov pour Google indique que 94% des personnes ont reçu un SMS d’arnaque, 73% se disent très/extrêmement concernées et 84% estiment ces fraudes très dommageables. ...

Source et contexte: Zscaler ThreatLabz publie le « 2025 Mobile, IoT & OT Threat Report » (données juin 2024–mai 2025), fondé sur la télémétrie de son cloud et l’analyse de transactions mobiles et IoT/OT à grande échelle. 📱 Mobile: Les transactions de malwares Android ont grimpé de 67%. Zscaler recense 239 applications Android malveillantes (42 M de téléchargements sur Google Play). Le backdoor Android Void/Vo1d a infecté 1,6 M de box TV Android (cible: versions AOSP anciennes). Les menaces phares incluent les bancaires (Anatsa) et un nouveau RAT Xnotice (ciblant des candidats dans l’oil & gas), avec abus massif des services d’accessibilité, overlays, mishing (SMS), et contournements via ZIP/APK malformés et payloads DEX chiffrés. L’adware domine désormais (69%), devant Joker (23%) et Harly (5%). ...

Source: ThreatFabric — Le rapport dévoile « Herodotus », une nouvelle famille de malware Android orientée Device-Takeover, observée en campagnes actives en Italie et au Brésil, et proposée en Malware-as-a-Service (MaaS) par l’acteur « K1R0 ». • Nature de la menace. Herodotus est un cheval de Troie bancaire Android conçu pour la prise de contrôle d’appareils (Device-Takeover). Il se distribue par side-loading via SMiShing menant à un dropper qui contourne les restrictions d’Android 13+ sur l’Accessibilité. Une fois le payload installé et le service d’Accessibilité activé, le malware utilise une overlay de blocage pour masquer l’octroi des permissions, collecte la liste des apps installées, et déploie des faux écrans (overlays) pour voler des identifiants. ...

Selon Ars Technica (Dan Goodin), des chercheurs ont présenté « Pixnapping », une nouvelle attaque ciblant Android qui exploite un canal auxiliaire graphique pour reconstituer, pixel par pixel, des informations affichées par d’autres apps. Google a publié une mitigation partielle en septembre (CVE-2025-48561) et prépare un correctif additionnel en décembre, sans signe d’exploitation active. • Nature de l’attaque: attaque par canal auxiliaire (timing de rendu GPU, liée à GPU.zip) permettant de déduire la couleur de pixels d’apps affichées en arrière-plan, comme si une capture d’écran non autorisée était réalisée. Le malware ne requiert aucune permission et cible tout contenu visible: codes 2FA, messages, emails, etc. Les données non affichées ne sont pas exposées. ...