android
L’année 2025 a été marquée par un nombre record d’attaques contre les appareils Android. Les escrocs surfent actuellement sur plusieurs vagues importantes : l’engouement pour les applications d’IA, l’envie de contourner les blocages de sites ou les contrôles d’âge, la recherche de bonnes affaires parmi les nouveaux smartphones, l’omniprésence des services bancaires mobiles et, bien sûr, la popularité de la technologie NFC. Analysons les principales menaces pour 2025-2026 et découvrons comment protéger votre appareil Android dans ce nouveau contexte.
Installation hors boutique officielle
Les paquets d’installation malveillants (fichiers APK) ont toujours été le » boss final » parmi les menaces Android, malgré les efforts déployés depuis plusieurs années par Google pour renforcer le système d’exploitation. En utilisant le chargement latéral (c’est-à-dire en installant une application via un fichier APK au lieu de la télécharger depuis la boutique officielle), les utilisateurs peuvent installer pratiquement tout ce qu’ils veulent, y compris des programmes malveillants. Et ni le lancement de Google Play Protect, ni les diverses restrictions d’autorisation pour les applications douteuses n’ont réussi à réduire l’ampleur du problème.
Selon les données préliminaires de Kaspersky pour 2025, le nombre de menaces Android détectées a augmenté de près de moitié. Au cours du troisième trimestre seulement, les détections ont bondi de 38 % par rapport au deuxième trimestre. Dans certains domaines, comme celui des chevaux de Troie bancaires, la croissance a été encore plus fulgurante. Rien qu’en Russie, le célèbre cheval de Troie bancaire Mamont a attaqué 36 fois plus d’utilisateurs que l’année précédente, tandis qu’à l’échelle mondiale, le nombre d’attaques de ce type a presque quadruplé.
Aujourd’hui, les cybercriminels diffusent leurs programmes malveillants principalement via les applications de messagerie, en glissant des fichiers infectés dans les messages privés et les discussions de groupe. Le fichier d’installation porte généralement un nom attrayant (par exemple « photo_de_soirée.jpg.APK » ou « catalogue_soldes.APK »), accompagné d’un message « utile » expliquant comment installer le paquet d’installation tout en contournant les restrictions du système d’exploitation et les avertissements de sécurité.
Une fois qu’un nouvel appareil est infecté, le programme malveillant se propage souvent à tous les contacts de la victime.
Le spam sur les moteurs de recherche et les campagnes par email sont également en vogue, attirant les utilisateurs vers des sites qui ressemblent exactement à une boutique d’applications officielle. Là, ils sont invités à télécharger la « toute nouvelle application utile », par exemple un assistant IA. En réalité, au lieu d’une installation à partir d’une boutique d’applications officielle, l’utilisateur se retrouve à télécharger un fichier APK. Un exemple parfait de ces attaques est le cheval de Troie Android ClayRat, qui utilise une combinaison de toutes ces techniques pour cibler les utilisateurs russes. Il se propage via des groupes et des sites frauduleux, inonde les contacts de la victime de SMS, puis vole les historiques de chat et d’appels de la victime. Il va même jusqu’à prendre des photos du propriétaire à l’aide de l’appareil photo frontal. En seulement trois mois, plus de 600 versions distinctes de ClayRat ont vu le jour.
L’ampleur du désastre est telle que Google a même annoncé l’interdiction prochaine de la distribution d’applications provenant de développeurs inconnus à partir de 2026. Cependant, après quelques mois de réactions négatives de la part de la communauté des développeurs, l’entreprise a opté pour une approche plus souple : les applications non signées devront probablement être installées via un mode superutilisateur. Nous pouvons donc nous attendre à ce que les escrocs mettent simplement à jour leurs guides pratiques en y ajoutant des instructions sur la manière d’activer ce mode.
[placeholder Kaspersky for Android] vous aidera à vous protéger contre les fichiers APK falsifiés et infectés par des chevaux de Troie. Malheureusement, en raison de la décision de Google, nos applications de sécurité Android ne sont actuellement pas disponibles sur Google Play. Dans un article précédent, nous avons expliqué en détail comment installer nos applications Android avec une garantie d’authenticité à 100 %.
Attaques par relais NFC
Dès qu’un appareil Android est compromis, les pirates informatiques peuvent contourner les intermédiaires et voler directement l’argent de la victime grâce à l’énorme popularité des paiements mobiles. Rien qu’au troisième trimestre 2025, plus de 44 000 attaques de ce type ont été détectées en Russie, soit une augmentation de 50 % par rapport au trimestre précédent.
Actuellement, il existe deux types d’escroqueries principales : les exploits NFC directs et les exploits NFC inversés.
Le relais NFC direct consiste pour un escroc à contacter la victime via une application de messagerie et à la convaincre de télécharger une application, soi-disant pour « vérifier son identité » auprès de sa banque. Si la victime mord à l’hameçon et l’installe, elle est invitée à rapprocher sa carte bancaire physique de l’arrière de son téléphone et à saisir son code PIN. En un clin d’œil, les données de la carte sont transmises aux criminels, qui peuvent alors vider le compte ou dépenser sans compter.
Le relais NFC inversé est un stratagème plus élaboré. L’escroc envoie un fichier APK malveillant et persuade la victime de définir cette nouvelle application comme son principal mode de paiement sans contact. L’application génère un signal NFC que les distributeurs automatiques reconnaissent comme étant la carte de l’escroc. La victime est ensuite encouragée à se rendre à un distributeur automatique de billets avec son téléphone infecté afin de déposer de l’argent sur un « compte sécurisé ». En réalité, ces fonds finissent directement dans les poches de l’escroc.
Nous analysons ces deux méthodes en détail dans notre article intitulé Attaques par skimming NFC.
La technologie NFC est également utilisée pour retirer de l’argent à partir de cartes dont les informations ont été détournées via des sites de phishing. Dans ce scénario, les pirates tentent d’associer la carte volée à un portefeuille mobile sur leur propre smartphone, une technique que nous avons abordée en détail dans l’article Les cardeurs NFC se cachent derrière Apple Pay et Google Wallet.
L’agitation autour des VPN
Dans de nombreuses régions du monde, il n’est plus aussi simple qu’avant d’accéder à certains sites Internet. Certains sites sont bloqués par les autorités locales de régulation d’Internet ou par les FAI sur décision judiciaire. D’autres exigent que les utilisateurs passent un contrôle de vérification de l’âge en présentant une pièce d’identité et des informations personnelles. Dans certains cas, les sites bloquent complètement les utilisateurs de certains pays afin d’éviter les complications liées au respect des lois locales. Les utilisateurs tentent constamment de contourner ces restrictions, mais ils finissent souvent par en payer le prix avec leurs données ou leur argent.
De nombreux outils populaires permettant de contourner les blocages, en particulier ceux qui sont gratuits, espionnent en réalité leurs utilisateurs. Un audit récent a révélé que plus de 20 services populaires, totalisant plus de 700 millions de téléchargements, suivent activement la position des utilisateurs. Ils ont également tendance à utiliser un chiffrement peu fiable, exposant ainsi les données des utilisateurs à toute tentative d’interception.
De plus, selon les données de Google datant de novembre 2025, le nombre d’applications malveillantes se faisant passer pour des services VPN légitimes dans le but de tromper des utilisateurs peu méfiants a fortement augmenté.
Les autorisations requises par cette catégorie d’applications conviennent parfaitement à l’interception de données et à la manipulation du trafic des sites Internet. Il est également beaucoup plus facile pour les escrocs de convaincre une victime d’accorder des privilèges administratifs à une application responsable de l’accès à Internet qu’à un jeu ou à un lecteur de musique, par exemple. Il faut s’attendre à ce que ce stratagème devienne de plus en plus populaire.
Un cheval de Troie dans une boîte
Même les utilisateurs prudents peuvent se faire infecter s’ils cèdent à la tentation de faire des économies. Tout au long de l’année 2025, plusieurs cas ont été signalés à travers le monde où des appareils étaient déjà infectés par un cheval de Troie dès leur déballage. En général, il s’agissait soit de smartphones provenant de fabricants peu connus, soit de contrefaçons de marques célèbres achetées sur des marchés en ligne. Mais la menace ne se limitait pas aux téléphones. Les décodeurs TV, les tablettes, les téléviseurs intelligents et même les cadres photo numériques se sont tous avérés être à risque.
On ne sait toujours pas exactement si l’infection se produit directement en usine ou quelque part dans la chaîne d’approvisionnement entre l’usine et le domicile de l’acheteur, mais l’appareil est déjà infecté avant même d’être allumé pour la première fois. Il s’agit le plus souvent d’un programme malveillant complexe appelé Triada, identifié pour la première fois par les analystes de Kaspersky en 2016. Ce programme est capable de s’injecter dans toutes les applications en cours d’exécution et d’intercepter des informations : il vole les jetons d’accès et les mots de passe des applications de messagerie et des réseaux sociaux populaires, détourne les SMS (codes de confirmation : aïe !), redirige les utilisateurs vers des sites truffés de publicités et va même jusqu’à exécuter un proxy directement sur le téléphone afin que les pirates puissent naviguer sur le Web sous l’identité de la victime.
Techniquement, le cheval de Troie est intégré directement dans le micrologiciel du smartphone, et la seule façon de s’en débarrasser est de réinitialiser l’appareil en installant un système d’exploitation vierge. En général, une fois que vous examinez le système de plus près, vous constatez que l’appareil dispose de beaucoup moins de mémoire vive ou d’espace de stockage que ce qui est annoncé, ce qui signifie que le micrologiciel ment littéralement au propriétaire afin de vendre une configuration matérielle bon marché comme un produit haut de gamme.
Une autre menace souvent préinstallée est le botnet BADBOX 2.0, qui sert à la fois de proxy et de moteur de fraude publicitaire. Celui-ci est spécialisé dans les décodeurs TV et autres appareils similaires.
Comment continuer à utiliser Android sans perdre la tête
Malgré la liste croissante des menaces, il est toujours possible d’utiliser votre smartphone Android en toute sécurité ! Il suffit de respecter certaines règles strictes d’hygiène mobile.
- Installez une solution de sécurité complète sur tous vos smartphones. Nous recommandons Kaspersky pour Android pour vous protéger contre les programmes malveillants et le phishing.
- Évitez de télécharger manuellement des applications via des fichiers APK si vous pouvez les obtenir via une boutique d’applications. Une boutique d’applications connue, même petite, vaut toujours mieux qu’un fichier APK trouvé au hasard sur un site inconnu. Si vous n’avez pas d’autre choix, téléchargez les fichiers APK uniquement à partir des sites Internet officiels des éditeurs et vérifiez l’URL de la page consultée. Si vous hésitez sur l’adresse exacte du site officiel, ne vous fiez pas uniquement aux moteurs de recherche. Consultez les annuaires professionnels officiels ou au moins Wikipédia pour confirmer la bonne adresse.
- Lisez attentivement les avertissements du système d’exploitation pendant l’installation. N’accordez pas les autorisations si les actions ou droits demandés semblent illogiques ou excessifs pour l’application que vous installez.
- N’installez en aucun cas des applications à partir de liens ou de pièces jointes dans des chats, des emails ou des canaux de communication similaires.
- Ne rapprochez jamais votre carte bancaire physique de votre téléphone. Il n’existe absolument aucun scénario légitime dans lequel cette action serait bénéfique pour vous.
- Ne saisissez jamais le code PIN de votre carte dans une application sur votre téléphone. Le code PIN devrait uniquement être demandé par un distributeur automatique de billets ou un terminal de paiement physique.
- Lorsque vous choisissez un VPN, optez pour des services payants proposés par des entreprises réputées.
- Achetez vos smartphones et autres appareils électroniques auprès de revendeurs agréés et évitez les marques dont vous n’avez jamais entendu parler. N’oubliez pas : si une offre semble trop belle pour être vraie, c’est probablement le cas.
Autres menaces principales liées à Android depuis 2025 :
[banner Kaspersky for Android]
Conseils