Des centaines d’applications Android malveillantes sur Google Play ont été téléchargées plus de 40 millions de fois entre juin 2024 et mai 2025, note un rapport de la société de sécurité cloud Zscaler.
Au cours de la même période, l’entreprise a observé une croissance de 67% d’une année sur l’autre des logiciels malveillants ciblant les appareils mobiles, les logiciels espions et les chevaux de Troie bancaires étant un risque répandu.
Les données de télémétrie montrent que les acteurs de la menace passent de la fraude par carte traditionnelle à l’exploitation des paiements mobiles en utilisant le phishing, le smishing, l’échange de cartes SIM et les escroqueries de paiement.
La transition vers des attaques basées sur l’ingénierie sociale s’explique par l’amélioration des normes de sécurité, telles que la technologie chip-and-PIN, et la large adoption des paiements mobiles.
« Pour mener à bien ces attaques, les cybercriminels déploient des chevaux de Troie de phishing et des applications malveillantes conçues pour voler des informations financières et des identifiants de connexion », explique Zscaler.
Selon l’entreprise, les logiciels malveillants bancaires ont considérablement augmenté au cours des trois dernières années, atteignant 4,89 millions de transactions en 2025. Cependant, le taux de croissance n’a été que de 3% au cours de la période observée, contre 29% l’année précédente.
Par rapport à l’année dernière, lorsque Zscaler a découvert 200 applications malveillantes sur Google Play, la société rapporte désormais avoir trouvé 239 applications malveillantes dans la boutique officielle Android qui comptaient collectivement 42 millions de téléchargements.
Une autre tendance notable enregistrée au cours de la même période est la montée en puissance des logiciels publicitaires en tant que menace la plus importante dans l’écosystème Android, représentant désormais environ 69% de toutes les détections, soit presque le double de l’année dernière.
Le voleur d’informations Joker, qui menait avec 38% l’année dernière, est maintenant tombé à la deuxième place avec 23%.
Les logiciels espions ont également enregistré une augmentation significative de 220% d’une année sur l’autre (en glissement annuel), les familles SpyNote, SpyLoan et BadBazaar, utilisées pour la surveillance, l’extorsion et le vol d’identité, étant les principales forces motrices.
En termes d’impact géographique, l’Inde, les États-Unis et le Canada ont reçu 55% de toutes les attaques. Zscaler a également connu des pics massifs d’attaques ciblant l’Italie et Israël, allant d’une augmentation de 800% à 4000% en glissement annuel.
Malware mis en évidence
Zscaler met en évidence dans son rapport annuel trois familles de logiciels malveillants, qui ont eu un impact notable sur les utilisateurs d’Android. Le premier est Anatsa, un cheval de Troie bancaire qui se faufile périodiquement dans Google Play via des applications de productivité/utilitaires et obtient même des centaines de milliers de téléchargements à chaque fois.
Anatsa est en constante évolution depuis sa découverte en 2020. La dernière variante peut voler des données de plus de 831 organisations financières, plateformes de crypto-monnaie et de nouvelles régions comme l’Allemagne et la Corée du Sud.
Le second est Android Void( Vo1d), un malware de porte dérobée ciblant les boîtiers Android TV, qui a infecté au moins 1,6 million d’appareils exécutant des versions obsolètes d’Android Open Source Project (AOSP), principalement en Inde et au Brésil.
Le troisième est Xnotice, un nouveau cheval de Troie d’accès à distance Android (RAT) qui cible les demandeurs d’emploi dans l’industrie pétrolière et gazière, en particulier en Iran et dans les régions arabophones.
Xnotice se propage via des applications se faisant passer pour des outils de candidature ou d’inscription à des examens, qui sont distribués via de faux portails d’emploi.
Le malware cible les informations d’identification bancaires via des superpositions, des codes d’authentification multifacteur (MFA), des messages SMS et peut également prendre des captures d’écran.
Pour se défendre contre les menaces de logiciels malveillants Android, même à partir de Google Play, il est conseillé aux utilisateurs d’appliquer des mises à jour de sécurité, de ne faire confiance qu’aux éditeurs réputés, de rejeter/désactiver les autorisations d’accessibilité, d’éviter de télécharger des applications non essentielles et d’exécuter régulièrement des analyses Play Protect.
Le rapport de Zscaler inclut également les tendances liées aux appareils IoT, où les routeurs étaient encore les plus ciblés cette année. Les pirates ont exploité les vulnérabilités d’injection de commandes pour ajouter des routeurs aux botnets ou pour les convertir en proxies pour la livraison de logiciels malveillants.
La plupart des attaques IoT ont eu lieu aux États-Unis, suivies de Hong Kong, de l’Allemagne, de l’Inde et de la Chine en tant que foyers émergents, ce qui indique que les attaquants ciblent des appareils dans une géographie plus large.
La société de cybersécurité recommande aux organisations de mettre en œuvre une technologie zero trust pour les réseaux critiques et de renforcer les passerelles IoT et cellulaires en surveillant les anomalies et en ajoutant des protections au niveau du micrologiciel.
De plus, les défenses des terminaux mobiles doivent inclure la vérification des irrégularités du trafic au niveau de la carte SIM, la protection contre les attaques de phishing et des politiques strictes de contrôle des applications.