{"id":23558,"date":"2026-02-06T12:35:44","date_gmt":"2026-02-06T10:35:44","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23558"},"modified":"2026-02-09T16:18:59","modified_gmt":"2026-02-09T14:18:59","slug":"growing-2026-android-threats-and-protection","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/growing-2026-android-threats-and-protection\/23558\/","title":{"rendered":"Android sous la pression de nouvelles menaces"},"content":{"rendered":"

L\u2019ann\u00e9e\u00a02025 a \u00e9t\u00e9 marqu\u00e9e par un nombre record d\u2019attaques contre les appareils Android. Les escrocs surfent actuellement sur plusieurs vagues importantes\u00a0: l\u2019engouement pour les applications d\u2019IA, l\u2019envie de contourner les blocages de sites ou les contr\u00f4les d\u2019\u00e2ge, la recherche de bonnes affaires parmi les nouveaux smartphones, l\u2019omnipr\u00e9sence des services bancaires mobiles et, bien s\u00fbr, la popularit\u00e9 de la technologie NFC. Analysons les principales menaces pour 2025-2026 et d\u00e9couvrons comment prot\u00e9ger votre appareil Android dans ce nouveau contexte.<\/p>\n

Installation hors boutique officielle<\/h2>\n

Les paquets d\u2019installation malveillants (fichiers APK) ont toujours \u00e9t\u00e9 le \u00a0\u00bb\u00a0boss final\u00a0\u00a0\u00bb parmi les menaces Android, malgr\u00e9 les efforts d\u00e9ploy\u00e9s depuis plusieurs ann\u00e9es par Google pour renforcer le syst\u00e8me d\u2019exploitation. En utilisant le chargement lat\u00e9ral (c\u2019est-\u00e0-dire en installant une application via un fichier APK au lieu de la t\u00e9l\u00e9charger depuis la boutique officielle), les utilisateurs peuvent installer pratiquement tout ce qu\u2019ils veulent, y compris des programmes malveillants. Et ni le lancement de Google Play Protect, ni les diverses restrictions d\u2019autorisation pour les applications douteuses n\u2019ont r\u00e9ussi \u00e0 r\u00e9duire l\u2019ampleur du probl\u00e8me.<\/p>\n

Selon les donn\u00e9es pr\u00e9liminaires de Kaspersky pour 2025, le nombre de menaces Android d\u00e9tect\u00e9es a augment\u00e9 de pr\u00e8s de moiti\u00e9<\/a>. Au cours du troisi\u00e8me trimestre seulement, les d\u00e9tections ont bondi de 38\u00a0%<\/a> par rapport au deuxi\u00e8me trimestre. Dans certains domaines, comme celui des chevaux de Troie bancaires, la croissance a \u00e9t\u00e9 encore plus fulgurante. Rien qu\u2019en Russie, le c\u00e9l\u00e8bre cheval de Troie bancaire Mamont<\/a> a attaqu\u00e9 36\u00a0fois plus d\u2019utilisateurs que l\u2019ann\u00e9e pr\u00e9c\u00e9dente, tandis qu\u2019\u00e0 l\u2019\u00e9chelle mondiale, le nombre d\u2019attaques de ce type a presque quadrupl\u00e9.<\/p>\n

Aujourd\u2019hui, les cybercriminels diffusent leurs programmes malveillants principalement via les applications de messagerie, en glissant des fichiers infect\u00e9s dans les messages priv\u00e9s et les discussions de groupe. Le fichier d\u2019installation porte g\u00e9n\u00e9ralement un nom attrayant (par exemple \u00ab\u00a0photo_de_soir\u00e9e.jpg.APK\u00a0\u00bb ou \u00ab\u00a0catalogue_soldes.APK\u00a0\u00bb), accompagn\u00e9 d\u2019un message \u00ab\u00a0utile\u00a0\u00bb expliquant comment installer le paquet d\u2019installation tout en contournant les restrictions du syst\u00e8me d\u2019exploitation et les avertissements de s\u00e9curit\u00e9.<\/p>\n

Une fois qu\u2019un nouvel appareil est infect\u00e9, le programme malveillant se propage souvent \u00e0 tous les contacts de la victime.<\/p>\n

Le spam sur les moteurs de recherche et les campagnes par email sont \u00e9galement en vogue, attirant les utilisateurs vers des sites qui ressemblent exactement \u00e0 une boutique d\u2019applications officielle. L\u00e0, ils sont invit\u00e9s \u00e0 t\u00e9l\u00e9charger la \u00ab\u00a0toute nouvelle application utile\u00a0\u00bb, par exemple un assistant IA. En r\u00e9alit\u00e9, au lieu d\u2019une installation \u00e0 partir d\u2019une boutique d\u2019applications officielle, l\u2019utilisateur se retrouve \u00e0 t\u00e9l\u00e9charger un fichier APK. Un exemple parfait de ces attaques est le cheval de Troie Android ClayRat<\/a>, qui utilise une combinaison de toutes ces techniques pour cibler les utilisateurs russes. Il se propage via des groupes et des sites frauduleux, inonde les contacts de la victime de SMS, puis vole les historiques de chat et d\u2019appels de la victime. Il va m\u00eame jusqu\u2019\u00e0 prendre des photos du propri\u00e9taire \u00e0 l\u2019aide de l\u2019appareil photo frontal. En seulement trois mois, plus de 600\u00a0versions distinctes de ClayRat ont vu le jour.<\/p>\n

L\u2019ampleur du d\u00e9sastre est telle que Google a m\u00eame annonc\u00e9 l\u2019interdiction prochaine<\/a> de la distribution d\u2019applications provenant de d\u00e9veloppeurs inconnus \u00e0 partir de 2026. Cependant, apr\u00e8s quelques mois de r\u00e9actions n\u00e9gatives de la part de la communaut\u00e9 des d\u00e9veloppeurs, l\u2019entreprise a opt\u00e9<\/a> pour une approche plus souple\u00a0: les applications non sign\u00e9es devront probablement \u00eatre install\u00e9es via un mode superutilisateur. Nous pouvons donc nous attendre \u00e0 ce que les escrocs mettent simplement \u00e0 jour leurs guides pratiques en y ajoutant des instructions sur la mani\u00e8re d\u2019activer ce mode.<\/p>\n

[placeholder Kaspersky for Android]<\/strong> vous aidera \u00e0 vous prot\u00e9ger contre les fichiers APK falsifi\u00e9s et infect\u00e9s par des chevaux de Troie. Malheureusement, en raison de la d\u00e9cision de Google, nos applications de s\u00e9curit\u00e9 Android ne sont actuellement pas disponibles sur Google Play. Dans un article pr\u00e9c\u00e9dent, nous avons expliqu\u00e9 en d\u00e9tail comment installer nos applications Android avec une garantie d\u2019authenticit\u00e9 \u00e0 100\u00a0%<\/a>.<\/p>\n

Attaques par relais NFC<\/h2>\n

D\u00e8s qu\u2019un appareil Android est compromis, les pirates informatiques peuvent contourner les interm\u00e9diaires et voler directement l\u2019argent de la victime gr\u00e2ce \u00e0 l\u2019\u00e9norme popularit\u00e9 des paiements mobiles. Rien qu\u2019au troisi\u00e8me trimestre 2025, plus de 44\u00a0000\u00a0attaques de ce type ont \u00e9t\u00e9 d\u00e9tect\u00e9es en Russie, soit une augmentation de 50\u00a0% par rapport au trimestre pr\u00e9c\u00e9dent.<\/p>\n

Actuellement, il existe deux types d\u2019escroqueries principales\u00a0: les exploits NFC directs et les exploits NFC invers\u00e9s.<\/p>\n

Le relais NFC direct consiste pour un escroc \u00e0 contacter la victime via une application de messagerie et \u00e0 la convaincre de t\u00e9l\u00e9charger une application, soi-disant pour \u00ab\u00a0v\u00e9rifier son identit\u00e9\u00a0\u00bb aupr\u00e8s de sa banque. Si la victime mord \u00e0 l\u2019hame\u00e7on et l\u2019installe, elle est invit\u00e9e \u00e0 rapprocher sa carte bancaire physique de l\u2019arri\u00e8re de son t\u00e9l\u00e9phone et \u00e0 saisir son code PIN. En un clin d\u2019\u0153il, les donn\u00e9es de la carte sont transmises aux criminels, qui peuvent alors vider le compte ou d\u00e9penser sans compter.<\/p>\n

Le relais NFC invers\u00e9 est un stratag\u00e8me plus \u00e9labor\u00e9. L\u2019escroc envoie un fichier APK malveillant et persuade la victime de d\u00e9finir cette nouvelle application comme son principal mode de paiement sans contact. L\u2019application g\u00e9n\u00e8re un signal NFC que les distributeurs automatiques reconnaissent comme \u00e9tant la carte de l\u2019escroc. La victime est ensuite encourag\u00e9e \u00e0 se rendre \u00e0 un distributeur automatique de billets avec son t\u00e9l\u00e9phone infect\u00e9 afin de d\u00e9poser de l\u2019argent sur un \u00ab\u00a0compte s\u00e9curis\u00e9\u00a0\u00bb. En r\u00e9alit\u00e9, ces fonds finissent directement dans les poches de l\u2019escroc.<\/p>\n

Nous analysons ces deux m\u00e9thodes en d\u00e9tail dans notre article intitul\u00e9 Attaques par skimming NFC<\/strong><\/a>.<\/p>\n

La technologie NFC est \u00e9galement utilis\u00e9e pour retirer de l\u2019argent \u00e0 partir de cartes dont les informations ont \u00e9t\u00e9 d\u00e9tourn\u00e9es via des sites de phishing. Dans ce sc\u00e9nario, les pirates tentent d\u2019associer la carte vol\u00e9e \u00e0 un portefeuille mobile sur leur propre smartphone, une technique que nous avons abord\u00e9e en d\u00e9tail dans l\u2019article Les cardeurs NFC se cachent derri\u00e8re Apple Pay et Google Wallet<\/strong><\/a>.<\/p>\n

L\u2019agitation autour des VPN<\/h2>\n

Dans de nombreuses r\u00e9gions du monde, il n\u2019est plus aussi simple qu\u2019avant d\u2019acc\u00e9der \u00e0 certains sites Internet. Certains sites sont bloqu\u00e9s par les autorit\u00e9s locales de r\u00e9gulation d\u2019Internet ou par les FAI sur d\u00e9cision judiciaire. D\u2019autres exigent que les utilisateurs passent un contr\u00f4le de v\u00e9rification de l\u2019\u00e2ge en pr\u00e9sentant une pi\u00e8ce d\u2019identit\u00e9 et des informations personnelles. Dans certains cas, les sites bloquent compl\u00e8tement les utilisateurs de certains pays afin d\u2019\u00e9viter les complications li\u00e9es au respect des lois locales. Les utilisateurs tentent constamment de contourner ces restrictions, mais ils finissent souvent par en payer le prix avec leurs donn\u00e9es ou leur argent.<\/p>\n

De nombreux outils populaires permettant de contourner les blocages, en particulier ceux qui sont gratuits, espionnent en r\u00e9alit\u00e9 leurs utilisateurs. Un audit r\u00e9cent a r\u00e9v\u00e9l\u00e9 que plus de 20\u00a0services populaires, totalisant plus de 700\u00a0millions de t\u00e9l\u00e9chargements, suivent activement la position des utilisateurs<\/a>. Ils ont \u00e9galement tendance \u00e0 utiliser un chiffrement peu fiable, exposant ainsi les donn\u00e9es des utilisateurs \u00e0 toute tentative d\u2019interception.<\/p>\n

De plus, selon les donn\u00e9es de Google datant de novembre\u00a02025<\/a>, le nombre d\u2019applications malveillantes se faisant passer pour des services VPN l\u00e9gitimes<\/a> dans le but de tromper des utilisateurs peu m\u00e9fiants a fortement augment\u00e9.<\/p>\n

Les autorisations requises par cette cat\u00e9gorie d\u2019applications conviennent parfaitement \u00e0 l\u2019interception de donn\u00e9es et \u00e0 la manipulation du trafic des sites Internet. Il est \u00e9galement beaucoup plus facile pour les escrocs de convaincre une victime d\u2019accorder des privil\u00e8ges administratifs \u00e0 une application responsable de l\u2019acc\u00e8s \u00e0 Internet qu\u2019\u00e0 un jeu ou \u00e0 un lecteur de musique, par exemple. Il faut s\u2019attendre \u00e0 ce que ce stratag\u00e8me devienne de plus en plus populaire.<\/p>\n

Un cheval de Troie dans une bo\u00eete<\/h2>\n

M\u00eame les utilisateurs prudents peuvent se faire infecter s\u2019ils c\u00e8dent \u00e0 la tentation de faire des \u00e9conomies. Tout au long de l\u2019ann\u00e9e\u00a02025, plusieurs cas ont \u00e9t\u00e9 signal\u00e9s \u00e0 travers le monde o\u00f9 des appareils \u00e9taient d\u00e9j\u00e0 infect\u00e9s par un cheval de Troie d\u00e8s leur d\u00e9ballage<\/a>. En g\u00e9n\u00e9ral, il s\u2019agissait soit de smartphones provenant de fabricants peu connus, soit de contrefa\u00e7ons de marques c\u00e9l\u00e8bres achet\u00e9es sur des march\u00e9s en ligne. Mais la menace ne se limitait pas aux t\u00e9l\u00e9phones. Les d\u00e9codeurs TV, les tablettes, les t\u00e9l\u00e9viseurs intelligents<\/a> et m\u00eame les cadres photo num\u00e9riques<\/a> se sont tous av\u00e9r\u00e9s \u00eatre \u00e0 risque.<\/p>\n

On ne sait toujours pas exactement si l\u2019infection se produit directement en usine ou quelque part dans la cha\u00eene d\u2019approvisionnement entre l\u2019usine et le domicile de l\u2019acheteur, mais l\u2019appareil est d\u00e9j\u00e0 infect\u00e9 avant m\u00eame d\u2019\u00eatre allum\u00e9 pour la premi\u00e8re fois. Il s\u2019agit le plus souvent d\u2019un programme malveillant complexe appel\u00e9 Triada, identifi\u00e9 pour la premi\u00e8re fois par les analystes de Kaspersky en 2016<\/a>. Ce programme est capable de s\u2019injecter dans toutes les applications en cours d\u2019ex\u00e9cution et d\u2019intercepter des informations\u00a0: il vole les jetons d\u2019acc\u00e8s et les mots de passe des applications de messagerie et des r\u00e9seaux sociaux populaires, d\u00e9tourne les SMS (codes de confirmation\u00a0: a\u00efe\u00a0!), redirige les utilisateurs vers des sites truff\u00e9s de publicit\u00e9s et va m\u00eame jusqu\u2019\u00e0 ex\u00e9cuter un proxy directement sur le t\u00e9l\u00e9phone afin que les pirates puissent naviguer sur le Web sous l\u2019identit\u00e9 de la victime.<\/p>\n

Techniquement, le cheval de Troie est int\u00e9gr\u00e9 directement dans le micrologiciel du smartphone, et la seule fa\u00e7on de s\u2019en d\u00e9barrasser est de r\u00e9initialiser l\u2019appareil en installant un syst\u00e8me d\u2019exploitation vierge. En g\u00e9n\u00e9ral, une fois que vous examinez le syst\u00e8me de plus pr\u00e8s, vous constatez que l\u2019appareil dispose de beaucoup moins de m\u00e9moire vive ou d\u2019espace de stockage que ce qui est annonc\u00e9, ce qui signifie que le micrologiciel ment litt\u00e9ralement au propri\u00e9taire afin de vendre une configuration mat\u00e9rielle bon march\u00e9 comme un produit haut de gamme.<\/p>\n

Une autre menace souvent pr\u00e9install\u00e9e est le botnet BADBOX\u00a02.0<\/a>, qui sert \u00e0 la fois de proxy et de moteur de fraude publicitaire. Celui-ci est sp\u00e9cialis\u00e9 dans les d\u00e9codeurs\u00a0TV et autres appareils similaires.<\/p>\n

Comment continuer \u00e0 utiliser Android sans perdre la t\u00eate<\/h2>\n

Malgr\u00e9 la liste croissante des menaces, il est toujours possible d\u2019utiliser votre smartphone Android en toute s\u00e9curit\u00e9\u00a0! Il suffit de respecter certaines r\u00e8gles strictes d\u2019hygi\u00e8ne mobile.<\/p>\n