Android

Selon BleepingComputer, le client YouTube open source SmartTube pour Android TV a été compromis après qu’un attaquant a obtenu les clés de signature du développeur, poussant une mise à jour malveillante vers les utilisateurs. Play Protect a commencé à bloquer l’application, et le développeur, Yuriy Yuliskov, a confirmé la compromission, a révoqué l’ancienne signature et prévoit une nouvelle version avec un nouvel ID d’application. 🤖🔑 Sur la version 30.51, un utilisateur a identifié une bibliothèque native cachée, « libalphasdk.so » (absente du code source public), injectée dans les builds de release. Cette bibliothèque s’exécute en silencieux, effectue un fingerprinting du dispositif, enregistre l’appareil auprès d’un backend distant, et envoie périodiquement des métriques tout en récupérant une configuration via un canal chiffré. Aucune preuve d’activités plus intrusives (vol de comptes, DDoS) n’est rapportée, mais le risque d’escalade reste élevé. ⚠️ ...

Source: ThreatFabric — ThreatFabric publie une analyse d’un nouveau malware bancaire Android privé nommé « Sturnus », actuellement en phase d’évaluation limitée mais déjà pleinement fonctionnel et ciblant des banques d’Europe du Sud et d’Europe centrale. • Profil de la menace. Sturnus est un trojan bancaire Android doté de prise de contrôle complète de l’appareil (VNC/hVNC), de vol de justificatifs via overlays HTML et d’une surveillance poussée des messageries chiffrées (WhatsApp, Telegram, Signal). Son différenciateur clé: il contourne le chiffrement E2E en capturant ce qui est affiché après déchiffrement (écran et arbre UI), offrant aux opérateurs une visibilité en temps réel des conversations. 🎯📱 ...

D3Lab a découvert un faux site imitant le Google Play Store destiné à distribuer une application Android frauduleuse nommée GPT Trade, se présentant comme un assistant de trading basé sur l’IA et utilisant un branding ressemblant à OpenAI/ChatGPT. En réalité, l’APK est un dropper multi-étapes conçu pour installer deux malwares puissants : BTMob (spyware Android très invasif) UASecurity Miner (module persistant lié à un packer Android abusé par les cybercriminels) Cette campagne illustre un écosystème moderne combinant phishing d’app store, packer-as-a-service, Telegram bots et infrastructure multi-C2. ...

Selon Android (Google), ce rapport s’appuie sur des signalements d’utilisateurs de SMS et RCS en 2025 et sur des recherches sur les canaux souterrains. Il met en lumière une économie mondiale de l’arnaque par message, avec des pertes estimées à 400 Md$ (source Global Anti‑Scam Alliance, oct. 2025) et seulement 4% des victimes remboursées. Un sondage YouGov pour Google indique que 94% des personnes ont reçu un SMS d’arnaque, 73% se disent très/extrêmement concernées et 84% estiment ces fraudes très dommageables. ...

Source et contexte: Zscaler ThreatLabz publie le « 2025 Mobile, IoT & OT Threat Report » (données juin 2024–mai 2025), fondé sur la télémétrie de son cloud et l’analyse de transactions mobiles et IoT/OT à grande échelle. 📱 Mobile: Les transactions de malwares Android ont grimpé de 67%. Zscaler recense 239 applications Android malveillantes (42 M de téléchargements sur Google Play). Le backdoor Android Void/Vo1d a infecté 1,6 M de box TV Android (cible: versions AOSP anciennes). Les menaces phares incluent les bancaires (Anatsa) et un nouveau RAT Xnotice (ciblant des candidats dans l’oil & gas), avec abus massif des services d’accessibilité, overlays, mishing (SMS), et contournements via ZIP/APK malformés et payloads DEX chiffrés. L’adware domine désormais (69%), devant Joker (23%) et Harly (5%). ...

Source: ThreatFabric — Le rapport dévoile « Herodotus », une nouvelle famille de malware Android orientée Device-Takeover, observée en campagnes actives en Italie et au Brésil, et proposée en Malware-as-a-Service (MaaS) par l’acteur « K1R0 ». • Nature de la menace. Herodotus est un cheval de Troie bancaire Android conçu pour la prise de contrôle d’appareils (Device-Takeover). Il se distribue par side-loading via SMiShing menant à un dropper qui contourne les restrictions d’Android 13+ sur l’Accessibilité. Une fois le payload installé et le service d’Accessibilité activé, le malware utilise une overlay de blocage pour masquer l’octroi des permissions, collecte la liste des apps installées, et déploie des faux écrans (overlays) pour voler des identifiants. ...

Selon Ars Technica (Dan Goodin), des chercheurs ont présenté « Pixnapping », une nouvelle attaque ciblant Android qui exploite un canal auxiliaire graphique pour reconstituer, pixel par pixel, des informations affichées par d’autres apps. Google a publié une mitigation partielle en septembre (CVE-2025-48561) et prépare un correctif additionnel en décembre, sans signe d’exploitation active. • Nature de l’attaque: attaque par canal auxiliaire (timing de rendu GPU, liée à GPU.zip) permettant de déduire la couleur de pixels d’apps affichées en arrière-plan, comme si une capture d’écran non autorisée était réalisée. Le malware ne requiert aucune permission et cible tout contenu visible: codes 2FA, messages, emails, etc. Les données non affichées ne sont pas exposées. ...

Pixnapping — nouvelle attaque Android volant les pixels à la souris (Ars Technica, 13 oct. 2025) Une équipe académique a présenté Pixnapping, une attaque Android capable de voler codes 2FA, messages et autres données visibles à l’écran en moins de 30 secondes, même si l’application malveillante n’a aucune permission système. L’attaque a été démontrée sur plusieurs téléphones Pixel et sur le Samsung Galaxy S25, et repose sur un canal auxiliaire temporel lié au rendu graphique : en exécutant des opérations graphiques sur des coordonnées précises et en mesurant les temps de rendu, l’appli malveillante peut déduire le contenu pixel par pixel de l’app cible (par ex. un chiffre 2FA). ...

Source : GMO Flatt Security Research – flatt.tech (publication du 3 octobre 2025). Contexte : un chercheur (RyotaK) détaille CVE-2025-59489, une vulnérabilité du Unity Runtime affectant les jeux/apps Unity (2017.1 et +), signalée à Unity qui a publié des correctifs (2019.1 et +) et un outil de patch binaire. • La vulnérabilité repose sur la gestion des intents Android par Unity : l’extra « unity » est interprété comme des arguments de ligne de commande pour l’application. Un argument spécifique, -xrsdk-pre-init-library, est transmis à dlopen(), permettant de charger une bibliothèque native arbitraire et d’exécuter du code dans le contexte de l’app Unity, avec ses permissions. • Impact : exécution de code arbitraire et détournement de permissions des apps Unity. Unity a publié un avis officiel et des mises à jour (2019.1 et +) ainsi qu’un Unity Binary Patch tool pour atténuer le risque. Avis Unity : https://unity.com/security/sept-2025-01 ...

Selon BleepingComputer, F-Droid avertit que le projet pourrait prendre fin en raison des nouvelles exigences de Google demandant à tous les développeurs Android de procéder à une vérification d’identité. L’enjeu central concerne une exigence de vérification d’identité imposée par Google à l’ensemble des développeurs Android, que F-Droid considère suffisamment contraignante pour mettre en péril la pérennité du projet F-Droid. Points clés: Projet concerné: F-Droid (répertoire d’applications Android open source) Changement imposé: vérification d’identité des développeurs Risque évoqué: fin potentielle du projet ⚠️ Aucun détail supplémentaire n’est fourni dans l’extrait sur les modalités de la vérification ni sur un calendrier précis. L’information met l’accent sur l’impact potentiel pour F-Droid face à cette nouvelle politique. ...