Android

Source: Free and Open Communications on the Internet (FOCI) 2025 – étude académique d’ASU/Citizen Lab/Bowdoin. Contexte: les auteurs analysent la transparence d’ownership et la sécurité de VPN Android très téléchargés, en identifiant des « familles » d’opérateurs dissimulés. • L’étude regroupe trois familles de fournisseurs (A, B, C) totalisant plus de 700 millions de téléchargements sur Google Play. Elle confirme et étend des travaux de VPNPro et Tech Transparency Project reliant des marques comme Innovative Connecting, Autumn Breeze, Lemon Clove et d’autres à Qihoo 360 (sanctionné par le gouvernement américain en 2020), avec des structures d’ownership obfusquées (souvent présentées comme basées à Singapour). ...

Selon CYFIRMA, ce rapport détaille un malware bancaire Android sophistiqué, nommé Lazarus Stealer, qui se dissimule sous le nom “GiftFlipSoft” pour cibler des applications bancaires russes tout en restant invisible pour l’utilisateur. L’outil vole des numéros de carte, codes PIN et identifiants via des attaques par superposition (overlay) et l’interception des SMS. Le malware exploite des permissions Android à haut risque — RECEIVE_SMS, SYSTEM_ALERT_WINDOW, PACKAGE_USAGE_STATS — afin d’assurer sa persistance et de surveiller l’activité des apps bancaires. Il se définit comme application SMS par défaut pour détourner les OTP, utilise WindowManager pour afficher des interfaces de phishing au-dessus des apps légitimes, maintient une communication C2 continue via HTTP POST, et s’appuie sur des services au premier plan (AppMonitorService, SMSForwardService) pour un monitoring persistant. Il intègre aussi un chargement dynamique de WebView permettant la livraison de contenus contrôlés par l’opérateur. 📱⚠️ ...

Selon ThreatFabric, « PhantomCard » est un nouveau Trojan Android de relais NFC ciblant les clients bancaires au Brésil, dans la continuité de NFSkate/NGate (03/2024) et Ghost Tap, avec un intérêt cybercriminel croissant pour ce vecteur. L’outil, opéré sous modèle Malware-as-a-Service (MaaS), pourrait s’étendre à d’autres régions. Dans la campagne observée, PhantomCard se fait passer pour l’application « Proteção Cartões » sur de fausses pages Google Play avec de faux avis positifs. Une fois installé, il ne requiert pas d’autorisations supplémentaires, demande à la victime de taper sa carte au dos du téléphone, affiche « carte détectée », puis transmet les données via un serveur de relais NFC. L’application sollicite ensuite le code PIN (4 ou 6 chiffres) afin d’authentifier les transactions. Le dispositif établit ainsi un canal temps réel entre la carte physique de la victime et un terminal de paiement/ATM auprès du fraudeur, démontré par une vidéo partagée sur Telegram. ...

Selon l’extrait d’actualité fourni, Google a annoncé que son protected Kernel-based Virtual Machine (pKVM) pour Android a obtenu la certification SESIP Niveau 5, le niveau d’assurance le plus élevé pour les plateformes IoT et mobiles. Cette annonce met en avant l’obtention par pKVM du plus haut niveau de garantie défini par le cadre SESIP (Security Evaluation Standard for IoT Platforms), attestant d’un niveau d’assurance maximal pour la sécurité de la plateforme. ...

L’article de iverify.io met en lumière l’émergence de nouvelles plateformes de malware-as-a-service (MaaS), telles que PhantomOS et Nebula, qui permettent aux cybercriminels de cibler facilement les appareils Android sans compétences techniques. Ces plateformes offrent des kits de malware prêts à l’emploi pour environ 300 dollars par mois, comprenant des fonctionnalités avancées comme l’interception de la 2FA, le contournement des logiciels antivirus, l’installation silencieuse d’applications, le suivi GPS, et des superpositions de phishing spécifiques à des marques. Les utilisateurs de ces plateformes bénéficient d’un support via Telegram, d’une infrastructure backend, et de méthodes intégrées pour contourner Google Play Protect. ...

L’analyse détaillée de DCHSpy-MuddyWaters révèle un malware Android sophistiqué qui se fait passer pour une application légitime de VPN Comodo. Ce logiciel malveillant est conçu pour collecter des données sensibles, notamment les contacts et les bases de données WhatsApp des utilisateurs. Le malware utilise une méthode d’exfiltration via SFTP pour envoyer les données volées à ses opérateurs. Une particularité de ce malware est qu’il a révélé le chemin de développement de ses créateurs : C:/Users/hossein/AndroidStudioProjects/Comodo/VPN_vector/, ce qui pourrait donner des indices sur les développeurs derrière cette menace. ...

L’article publié par BleepingComputer rapporte que Google a intenté une action en justice contre les opérateurs anonymes du botnet Android BadBox 2.0. Google accuse ces opérateurs de mener un schéma de fraude publicitaire à l’échelle mondiale, ciblant les plateformes publicitaires de l’entreprise. Cette action en justice vise à perturber les activités malveillantes qui exploitent les appareils Android pour générer des revenus illicites grâce à des clics frauduleux sur des publicités. ...

Bleeping Computer rapporte une nouvelle technique de tapjacking qui exploite les animations de l’interface utilisateur d’Android pour contourner le système de permissions et accéder à des données sensibles ou inciter les utilisateurs à effectuer des actions destructrices, telles que l’effacement de l’appareil. Cette vulnérabilité repose sur l’exploitation des animations qui masquent les demandes de permission, trompant ainsi l’utilisateur en lui faisant croire qu’il interagit avec une autre application ou fonctionnalité. Cela peut conduire à des actions non désirées sans que l’utilisateur en soit conscient. ...

L’article publié par The Record relate une affaire judiciaire dans laquelle Google a été accusé de transférer des données depuis des téléphones Android inactifs sur des réseaux cellulaires, ce qui a été qualifié de vol par les avocats des plaignants. Dans cette affaire de recours collectif, un jury a accordé 314 millions de dollars aux plaignants, soulignant la gravité des accusations portées contre Google. Les avocats ont affirmé que ces transferts de données, effectués sans le consentement explicite des utilisateurs, constituaient une violation des droits à la vie privée. ...

Selon un article publié par Bleeping Computer, une nouvelle version du malware Android connu sous le nom de ‘Godfather’ a été détectée. Ce malware est conçu pour créer des environnements virtuels isolés sur les appareils mobiles afin de voler des données de compte et des transactions à partir d’applications bancaires légitimes. Le malware ‘Godfather’ cible spécifiquement les utilisateurs d’applications bancaires en créant un environnement sécurisé qui imite l’application bancaire légitime. Cela permet au malware de capturer les informations sensibles des utilisateurs, telles que les identifiants de connexion et les détails des transactions. ...