Les tendances 2023 en termes de menaces
Malgré les mesures de sécurité mises en place, les utilisateurs de Google Play sont régulièrement la cible de logiciels malveillants. Au total, les produits Kaspersky ont bloqué 33 790 599 attaques en 2023.
En 2023, le store d’applications référençait une application malveillante, Trojan.AndroidOS.Agent.wr, camouflée en gestionnaire de fichiers. Cette application illégitime déchiffrait et exécutait un code de proxy inverse, et affichait des publicités.
Google Play et les places de marché tierces ont également été inondés de fausses applications d’investissement qui s’appuyaient sur l’ingénierie sociale pour soutirer des données personnelles aux utilisateurs, telles que les numéros de téléphone et les noms complets, qui étaient ensuite ajoutés à des bases de données utilisées pour la fraude téléphonique.
Toujours en 2023, des modifications malveillantes de WhatsApp et Telegram ont été détectées, qui volaient les données des utilisateurs.
Statistiques sur les menaces mobiles
Le nombre de nouveaux paquets d’installation uniques de logiciels malveillants et de logiciels à risque a légèrement diminué par rapport aux niveaux de 2022, s’élevant à 1 315 405.
Répartition des paquets d’installation détectés par type
Comme d’habitude, Adware et RiskTool sont en tête du classement. MobiDash (35,2 %) est la famille de logiciels publicitaires la plus populaire en 2023, suivie par Adlo (9,4 %) et HiddenAd (9 %).
* Ces pourcentages peuvent ne pas être égaux à 100 % si les mêmes utilisateurs ont subi plus d’un type d’attaque.
Le malware de type Trojan-SMS, quant à lui, a vu son activité diminuer significativement, perdant six places par rapport à 2022. En revanche, l’activité des logiciels publicitaires sur les appareils des utilisateurs a augmenté.
Top 20 des logiciels malveillants mobiles les plus fréquemment détectés
Ce classement des logiciels malveillants exclut les logiciels à risque ou les PUA, tels que RiskTool ou les logiciels publicitaires.
| Verdict | %*, 2022 | %*, 2023 | Difference in pp | Change in ranking | |
| 1 | DangerousObject.Multi.Generic. | 16.63 | 14.82 | -1.81 | 0 |
| 2 | Trojan.AndroidOS.Fakemoney.v | 0.31 | 11.76 | +11.45 | +81 |
| 3 | Trojan.AndroidOS.Boogr.gsh | 5.70 | 6.81 | +1.11 | +2 |
| 4 | Trojan.AndroidOS.GriftHorse.l | 4.39 | 5.73 | +1.34 | +2 |
| 5 | Trojan.AndroidOS.Triada.et | 0.00 | 4.83 | +4.83 | |
| 6 | Trojan.AndroidOS.Generic. | 5.79 | 3.63 | -2.16 | -3 |
| 7 | Trojan.AndroidOS.Triada.ex | 0.00 | 3.31 | +3.31 | |
| 8 | Trojan-Spy.AndroidOS.Agent.acq | 1.18 | 3.22 | +2.04 | +16 |
| 9 | Trojan-Spy.AndroidOS.Agent.afq | 0.00 | 3.18 | +3.18 | |
| 10 | Trojan-Dropper.AndroidOS.Badpack.g | 0.00 | 2.75 | +2.75 | |
| 11 | DangerousObject.AndroidOS.GenericML. | 2.57 | 2.39 | -0.18 | -2 |
| 12 | Trojan-Dropper.AndroidOS.Agent.uc | 0.00 | 2.30 | +2.30 | |
| 13 | Trojan.AndroidOS.Piom.baiu | 0.00 | 2.09 | +2.09 | |
| 14 | Trojan-Dropper.AndroidOS.Hqwar.bk | 0.74 | 1.85 | +1.12 | +19 |
| 15 | Trojan.AndroidOS.Fakeapp.ft | 0.00 | 1.82 | +1.82 | |
| 16 | Trojan-Spy.AndroidOS.CanesSpy.a | 0.00 | 1.79 | +1.79 | |
| 17 | Backdoor.AndroidOS.Mirai.b | 0.00 | 1.78 | +1.78 | |
| 18 | Trojan-Spy.AndroidOS.Agent.aas | 5.74 | 1.66 | -4.08 | -14 |
| 19 | Trojan.AndroidOS.Triada.ey | 0.00 | 1.58 | +1.58 | |
| 20 | Trojan-Dropper.AndroidOS.Hqwar.hd | 1.59 | 1.46 | -0.12 | -6 |
* Pourcentage du nombre d’utilisateurs ayant rencontré ces logiciels malveillants sur le total d’utilisateurs des solutions Kaspersky attaqués.
De nombreuses familles de malwares qui ne figuraient pas dans le top 20 de 2022 ont rejoint la liste en 2023.
Le virus généralisé DangerousObject.Multi.Generic (14,82 %), qui couvre des logiciels malveillants de plusieurs familles différentes, conserve sans surprise la première place. Le virus ML de type ombrelle Trojan.AndroidOS.Boogr.gsh (6,81 %) est également proche des premières places.
Trojan.AndroidOS.Fakemoney.v (11,76 %), en deuxième position, représente des applications d’escroquerie à l’investissement et au paiement. Une autre variété d’application frauduleuse, Trojan.AndroidOS.GriftHorse.l (5,73 %), qui incite les utilisateurs à acheter des abonnements déguisés en programmes de perte de poids, occupe la quatrième place.
Un certain nombre de mods WhatsApp malveillants se sont retrouvés dans le top 20 :
Trojan.AndroidOS.Triada.et (4,83 %), Trojan.AndroidOS.Triada.ex (3,31 %), Trojan-Spy.AndroidOS.CanesSpy.a (1,79 %) et Trojan-Spy.AndroidOS.Agent.afq (3,18 %).
Le cheval de Troie bancaire Trojan-Dropper.AndroidOS.Badpack.g (2,75 %) arrive en dixième position.
Curieusement, Trojan-Dropper.AndroidOS.Agent.uc (2,30 %) a également rejoint le classement. Détecté principalement sur les téléviseurs intelligents, ce dropper est utilisé pour les déploiements cachés du bot Mirai, qui cible les appareils Android.
Logiciels malveillants spécifiques à une zone géographique
Certains malwares s’attaquent principalement aux utilisateurs de certains pays.
| Virus | Pays* | %** |
| Trojan-Banker.AndroidOS.BrowBot.g | Turquie | 100.00 |
| Trojan-Banker.AndroidOS.BrowBot.i | Turquie | 99.54 |
| Trojan-Banker.AndroidOS.GodFather.i | Turquie | 99.53 |
| Trojan.AndroidOS.Piom.bbfv | Turquie | 99.44 |
| Trojan-Banker.AndroidOS.BrowBot.a | Turquie | 99.40 |
| Trojan-Banker.AndroidOS.Banbra.aa | Brésil | 99.35 |
| Trojan.AndroidOS.Piom.azgy | Brésil | 99.21 |
| Trojan-Banker.AndroidOS.BRats.b | Brésil | 99.11 |
| Trojan.AndroidOS.Piom.axdh | Turquie | 98.86 |
| Trojan-Banker.AndroidOS.Sova.i | Turquie | 98.83 |
| Trojan-Banker.AndroidOS.Banbra.ac | Brésil | 98.80 |
| Trojan-Spy.AndroidOS.SmsThief.tp | Turquie | 98.79 |
| Trojan.AndroidOS.Piom.azgh | Inde | 98.53 |
| Trojan-Banker.AndroidOS.GodFather.h | Turquie | 98.51 |
| Trojan-SMS.AndroidOS.Fakeapp.e | Turquie | 98.32 |
| Trojan-SMS.AndroidOS.Fakeapp.g | Thailande | 98.27 |
| Trojan-Banker.AndroidOS.Rewardsteal.c | Inde | 98.13 |
| Trojan.AndroidOS.Piom.bbfw | Azerbaïdjan | 98.04 |
| Trojan-Banker.AndroidOS.Bray.n | Japon | 97.94 |
| Trojan-Banker.AndroidOS.GodFather.d | Turquie | 97.91 |
| Trojan-Banker.AndroidOS.Agent.lc | Indonesie | 97.78 |
| Trojan-Banker.AndroidOS.Agent.nd | Turquie | 97.68 |
| Trojan-Spy.AndroidOS.SmsThief.vb | Indonésie | 97.58 |
| Backdoor.AndroidOS.Tambir.b | Turquie | 97.57 |
| Trojan.AndroidOS.Hiddapp.da | Iran | 97.39 |
| Trojan-Banker.AndroidOS.GodFather.g | Turquie | 97.18 |
| Trojan-Spy.AndroidOS.SmsThief.tw | Indonésie | 96.93 |
| Trojan-Banker.AndroidOS.Agent.la | Turquie | 96.79 |
| Trojan-Spy.AndroidOS.SmsEye.b | Indonésie | 96.75 |
| Trojan-Banker.AndroidOS.GodFather.e | Turquie | 96.41 |
* Pays où les logiciels malveillants ont été les plus actifs.
* Pourcentage du nombre d’utilisateurs ayant rencontré le logiciel malveillant dans le pays indiqué, sur le total d’utilisateurs de Kaspersky Mobile attaqués par le même logiciel malveillant.
Les utilisateurs de Turquie ont été confrontés à la plus grande variété de menaces concentrées dans un seul pays en 2023. Il s’agit notamment des chevaux de Troie bancaires BrowBot, GodFather et Sova, des espions SmsThief.tp, des chevaux de Troie SMS Fakeapp.e et de la porte dérobée Tambir. Tambir ouvre l’accès VNC à des acteurs malveillants, fonctionne comme un keylogger, vole des messages SMS, des contacts et des listes d’applications, et envoie des messages SMS.
Plusieurs menaces spécialisées étaient également actives au Brésil, notamment les chevaux de Troie bancaires Banbra et Brats.
Les espions SmsThief et SmsEye se sont particulièrement répandus en Indonésie. Fakeapp.g, un programme qui ouvre le site web d’un magasin d’applications tiers tout en envoyant des messages SMS, s’est spécialisé dans les attaques contre les utilisateurs en Thaïlande.
Trojans bancaires mobiles
Le nombre de nouveaux chevaux de Troie bancaires installés a légèrement baissé par rapport à 2022 et atteint 153 682.
Top 10 des malwares banques mobiles
| Virus | %* 2022 | %* 2023 | Difference en % | Évolution de rang |
| Trojan-Banker.AndroidOS.Bian.h | 23.78 | 22.22 | -1.56 | 0 |
| Trojan-Banker.AndroidOS.Agent.eq | 3.46 | 20.95 | +17.50 | +6 |
| Trojan-Banker.AndroidOS.Faketoken.pac | 6.42 | 5.33 | -1.09 | +1 |
| Trojan-Banker.AndroidOS.Agent.cf | 1.16 | 4.84 | +3.68 | +13 |
| Trojan-Banker.AndroidOS.Agent.ma | 0.00 | 3.74 | +3.74 | |
| Trojan-Banker.AndroidOS.Agent.la | 0.04 | 3.20 | +3.16 | |
| Trojan-Banker.AndroidOS.Anubis.ab | 0.00 | 3.00 | +3.00 | |
| Trojan-Banker.AndroidOS.Agent.lv | 0.00 | 1.81 | +1.81 | |
| Trojan-Banker.AndroidOS.Agent.ep | 4.17 | 1.74 | -2.44 | -4 |
| Trojan-Banker.AndroidOS.Mamont.c | 0.00 | 1.67 | +1.67 |
* Pourcentage du nombre d’utilisateurs qui ont rencontré ces logiciels malveillants sur le total d’utilisateurs de Kaspersky Mobile ayant rencontré des menaces bancaires.
Le nombre total d’attaques de chevaux de Troie bancaires est resté au même niveau que 2022 malgré une légère diminution du nombre de paquets d’installation uniques. Cela suggère que les acteurs malveillants étaient plus susceptibles de réutiliser le même logiciel malveillant pour attaquer de nouveaux utilisateurs que l’année précédente.
Trojans mobiles de type ransomware
Le nombre de nouveaux paquets d’installation de ransomwares a légèrement augmenté d’une année sur l’autre, atteignant 11 202 en 20023.
Top 10 des chevaux de Troie ransomware mobile
| Virus | %* 2022 | %* 2023 | Difference de % | Évolution du rang |
| Trojan-Ransom.AndroidOS.Rasket.a | 0.00 | 52.39 | +52.39 | |
| Trojan-Ransom.AndroidOS.Pigetrl.a | 74.28 | 22.30 | -51.99 | -1 |
| Trojan-Ransom.AndroidOS.Rkor.eg | 0.00 | 5.13 | +5.13 | -3 |
| Trojan-Ransom.AndroidOS.Rkor.ef | 0.00 | 2.65 | +2.65 | -4 |
| Trojan-Ransom.AndroidOS.Congur.y | 0.41 | 1.13 | +0.72 | +33 |
| Trojan-Ransom.AndroidOS.Congur.cw | 0.93 | 1.00 | +0.07 | +5 |
| Trojan-Ransom.AndroidOS.Small.as | 1.80 | 0.94 | -0.86 | -4 |
| Trojan-Ransom.AndroidOS.Agent.bw | 0.72 | 0.86 | +0.14 | +11 |
| Trojan-Ransom.AndroidOS.Svpeng.ac | 0.86 | 0.73 | -0.12 | +5 |
| Trojan-Ransom.AndroidOS.Fusob.h | 1.03 | 0.67 | -0.35 | -2 |
* Pourcentage d’utilisateurs uniques ayant rencontré ce malware sur le total des utilisateurs de Kaspersky Mobile attaqués par des chevaux de Troie ransomware.
Le cheval de Troie Rasket (52,39 %) est arrivé en tête du classement des chevaux de Troie similaires en termes d’attaques, devançant Pigertl (22,30 %). Les autres positions étaient occupées par diverses modifications des chevaux de Troie Rkor, Congur, Small et Svpeng, actifs depuis longtemps.
L’activité des logiciels malveillants et des logiciels à risque Android a augmenté en 2023 après deux années de calme relatif. Cela dit, le nombre de paquets d’installation uniques a chuté par rapport à 2022, ce qui suggère que les acteurs malveillants utilisent plus fréquemment les mêmes paquets pour infecter leurs victimes. Les logiciels publicitaires représentent la majorité des menaces détectées en 2023.
Les attaquants ont continué à utiliser les places de marché d’applications officielles, telles que Google Play, pour diffuser des logiciels malveillants. À plusieurs reprises, des mods malveillants d’applications de messagerie instantanée ont été détectés.
