Android

🗓️ Contexte Publié le 8 avril 2026 par TechCrunch, cet article repose sur des rapports publiés conjointement par Access Now, SMEX et Lookout documentant une campagne d’espionnage attribuée à un groupe hack-for-hire opérant entre 2023 et 2025. 🎯 Cibles La campagne vise des profils à haute valeur dans plusieurs pays : Journalistes : deux journalistes égyptiens, un journaliste libanais Activistes et membres de la société civile égyptienne et libanaise Officiels gouvernementaux bahreïnis et égyptiens Cibles aux Émirats arabes unis, Arabie saoudite, Royaume-Uni, et potentiellement aux États-Unis ou alumni d’universités américaines 🛠️ Techniques d’attaque Sur iOS : ...

🔍 Contexte Publié le 4 avril 2026 par CERT Polska, cet article présente une analyse technique approfondie d’un malware Android inédit baptisé cifrat (dérivé du nom de package io.cifnzm.utility67pu), distribué via une infrastructure d’hameçonnage imitant Booking.com. 🎣 Vecteur d’infection initial La chaîne d’infection débute par un email de phishing incitant la victime à cliquer sur un lien qui redirige successivement via : share.google/Yc9fcYQCgnKxNfRmH booking.interaction.lat/starting/ Cette page présente une fausse invite de mise à jour de sécurité Booking.com et déclenche le téléchargement d’un APK malveillant : com.pulsebookmanager.helper.apk. ...

🗞️ Contexte Article publié le 2 avril 2026 par le Wall Street Journal, relatant l’investigation ayant conduit au démantèlement du botnet Kimwolf, l’un des plus puissants jamais observés sur internet. L’opération de police fédérale américaine a été annoncée le 19 mars 2026. 🎯 Le botnet Kimwolf Kimwolf est un botnet de type DDoS-as-a-service ayant lancé plus de 26 000 attaques DDoS ciblant plus de 8 000 victimes. À son apogée, il comptait environ 2 millions d’appareils compromis, avec des dizaines de milliers de nouveaux appareils ajoutés quotidiennement. Les opérateurs dépensaient environ 30 000 dollars par mois pour les serveurs de commande et contrôle. ...

🔍 Contexte Publié le 31 mars 2026 par McAfee Labs (auteur : Ahmad Zubair Zahid), cet article présente les résultats d’une investigation approfondie sur une campagne de rootkit Android baptisée Operation NoVoice, distribuée via le Google Play Store officiel. 🎯 Vecteur d’infection et distribution Plus de 50 applications malveillantes publiées sur Google Play (nettoyeurs, jeux, galeries photos) ont été identifiées, totalisant au moins 2,3 millions de téléchargements. Aucun sideloading requis, aucune permission inhabituelle demandée. Les composants malveillants sont enregistrés sous com.facebook.utils, se fondant dans le SDK Facebook légitime. Le payload initial est dissimulé dans une image polyglotte (payload chiffré après le marqueur IEND du PNG). ⚙️ Chaîne d’infection en 8 étapes Stage 1 – Delivery : Extraction et déchiffrement du payload enc.apk → h.apk depuis les assets de l’app. Stage 2 – Gatekeeper : Chargement de libkwc.so qui vérifie l’environnement (15 contrôles anti-analyse, géofencing Beijing/Shenzhen, détection émulateur, Xposed, VPN). Stage 3 – Plugin : Framework plugin “kuwo” avec check-in C2 toutes les 60 secondes ; plugins livrés via images polyglotte déguisées en icônes (warningIcon). Stage 4 – Exploit : security.jar envoie les identifiants matériels au C2 qui retourne des exploits ciblés. 22 exploits récupérés, dont une chaîne : use-after-free IPv6 + vulnérabilité driver Mali GPU + désactivation SELinux. Stage 5 – Rootkit : CsKaitno.d remplace libandroid_runtime.so et libmedia_jni.so par des wrappers malveillants (ARM32/ARM64). jkpatch modifie le bytecode framework compilé sur disque. Stage 6 – Watchdog : Daemon watch_dog vérifie l’installation toutes les 60 secondes, force un redémarrage si nécessaire. Survit à la réinitialisation d’usine (Android 7 et inférieur). Stage 7 – Injection : À chaque démarrage, toutes les apps héritent du code attaquant. BufferA (installeur silencieux) et BufferB (outil post-exploitation principal, deux canaux C2 indépendants). Stage 8 – Theft : Payload PtfLibc (hébergé sur Alibaba Cloud OSS) cible WhatsApp : copie de la base de données de chiffrement, extraction des clés Signal, clonage de session. 🌍 Géographie et cibles Les taux d’infection les plus élevés sont observés au Nigeria, Éthiopie, Algérie, Inde et Kenya, régions où les appareils anciens sous Android 7 ou inférieur sont répandus. ...

🔍 Contexte Article publié le 29 mars 2026 sur le blog personnel de la chercheuse Persephone Karnstein, adapté d’une présentation donnée avec Mitchell Marasch à BSides Seattle 2026, pour le compte de Bureau Veritas Cybersecurity North America (anciennement Security Innovation). L’évaluation a été conduite fin 2025 / début 2026. 🎯 Périmètre de l’évaluation Les chercheurs ont évalué trois surfaces d’attaque : Le hardware physique (PCB/MBB de la moto Zero Motorcycles) L’application Android com.zeromotorcycles.nextgen Le firmware embarqué distribué via OTA (Over-The-Air) 🔓 Vulnérabilités identifiées 1. Secrets hardcodés dans l’application Android L’analyse de l’APK via JADX révèle dans com.zeromotorcycles.nextgen.BuildConfig : ...

🌐 Contexte Le 21 mars 2026, Security Affairs rapporte qu’une opération internationale coordonnée par le Département de Justice américain (DoJ) a ciblé l’infrastructure de commandement et contrôle (C2) de plusieurs botnets IoT majeurs : AISURU, Kimwolf, JackSkid et Mossad. L’opération a impliqué des autorités du Canada et de l’Allemagne, ainsi que des entreprises technologiques privées. 🎯 Botnets ciblés et ampleur Les quatre botnets ont infecté plus de 3 millions d’appareils dans le monde, principalement des équipements IoT (caméras, routeurs). Ils opéraient selon un modèle cybercrime-as-a-service, louant l’accès aux appareils compromis pour lancer des attaques DDoS massives : ...

📅 Source : BleepingComputer — publié le 21 mars 2026 🔍 Contexte Google a annoncé l’introduction d’un nouveau mécanisme dans Android nommé Advanced Flow, destiné à encadrer le sideloading d’APK (installation d’applications hors Play Store) provenant de développeurs non vérifiés. ⚙️ Détails de la fonctionnalité Advanced Flow est conçu pour les utilisateurs avancés (power users) souhaitant installer des applications depuis des sources tierces non vérifiées. L’objectif est de permettre cette pratique de manière plus sécurisée, en ajoutant un flux de contrôle supplémentaire lors du processus d’installation. 📌 Type d’article Il s’agit d’une annonce de mise à jour produit par Google concernant une évolution de sécurité dans le système d’exploitation Android. Le but principal est d’informer sur une nouvelle fonctionnalité de sécurité visant à réduire les risques liés au sideloading d’applications. ...

Selon The Register, s’appuyant sur les analyses d’Acronis Threat Research Unit (TRU), une campagne de smishing en Israël distribue depuis le 1er mars une application d’alerte aux roquettes « Red Alert » trojanisée, déguisée en mise à jour urgente de « Oref Alert ». Les autorités (Israeli National Cyber Directorate) et les grands médias israéliens ont émis des avertissements. • Vecteur d’infection 🚨: des SMS usurpant « Oref Alert » avec ID d’expéditeur spoofé et lien bit.ly redirigeant vers un spyware Android au lieu d’une mise à jour légitime de Red Alert. ...

Selon ESET Research, PromptSpy est le premier malware Android observé qui intègre de l’IA générative (Google Gemini) dans sa chaîne d’exécution pour assurer sa persistance. • Découverte et portée. PromptSpy est présenté comme un cas inédit d’exploitation opérationnelle de l’IA générative sur Android, avec un objectif principal de déploiement d’un module VNC offrant un accès distant complet à l’appareil compromis. Le malware dispose de multiples capacités malveillantes (exfiltration de données de l’écran de verrouillage, blocage de la désinstallation, collecte d’informations système, captures d’écran et enregistrements vidéo). À ce stade, aucune détection n’a été observée dans la télémétrie d’ESET, laissant envisager un statut de preuve de concept (PoC). ...

Selon l’équipe Mobile Threat Intelligence (MTI), une nouvelle famille de malware Android baptisée « Massiv » a été observée dans des campagnes ciblées, principalement en Europe, se faisant passer pour des applications IPTV afin de prendre le contrôle des appareils et mener des fraudes bancaires. • Nature de la menace. Massiv est un trojan bancaire Android axé Device Takeover (DTO), sans liens directs avec des menaces connues. Il combine overlays, keylogging, interception SMS/Push et un contrôle à distance complet de l’appareil, avec un C2 en WebSocket et opérations en screen streaming (MediaProjection) ou en mode UI-tree (traversée Accessibility pour contourner les protections anti-capture). ...