{"id":33820,"date":"2026-03-09T07:45:09","date_gmt":"2026-03-09T07:45:09","guid":{"rendered":"https:\/\/www.europesays.com\/be-fr\/33820\/"},"modified":"2026-03-09T07:45:09","modified_gmt":"2026-03-09T07:45:09","slug":"appareils-android-neufs-livres-infectes-kaspersky-avertit-sur-lindustrialisation-des-backdoors-preinstallees-en-2025","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/be-fr\/33820\/","title":{"rendered":"Appareils Android neufs livr\u00e9s infect\u00e9s : Kaspersky avertit sur l’industrialisation des backdoors pr\u00e9install\u00e9es en 2025"},"content":{"rendered":"

\"\"<\/a><\/p>\n


\n\"banni\u00e8re\"\/
\n<\/a><\/p>\n

Kaspersky avertit sur la recrudescence de portes d\u00e9rob\u00e9es pr\u00e9install\u00e9es dans le firmware d’appareils Android neufs, dont Keenadu et plusieurs variantes de Triada. Au total, les solutions Kaspersky ont bloqu\u00e9 14 059 465 attaques mobiles en 2025, soit une moyenne de 1,17 million par mois.<\/p>\n

Les donn\u00e9es sont issues du Kaspersky Security Network (KSN), r\u00e9seau mondial d’analyse de renseignements sur les menaces aliment\u00e9 anonymement par les utilisateurs. Kaspersky pr\u00e9cise que sa m\u00e9thodologie statistique a \u00e9t\u00e9 mise \u00e0 jour depuis le troisi\u00e8me trimestre 2025, ce qui peut rendre les chiffres incomparables avec les publications ant\u00e9rieures \u2014 \u00e0 l’exception des statistiques sur les paquets d’installation, qui restent calcul\u00e9es selon la m\u00e9thode d’origine. Les chiffres de progression pr\u00e9sent\u00e9s dans les communications commerciales de l’\u00e9diteur peuvent ainsi diff\u00e9rer des donn\u00e9es du rapport primaire.<\/p>\n

Les chevaux de Troie bancaires mobiles ont pour fonction principale l’exfiltration de credentials : identifiants pour les services bancaires en ligne, syst\u00e8mes de paiement \u00e9lectronique et donn\u00e9es de cartes de cr\u00e9dit. Bien que les adwares restent la menace la plus fr\u00e9quemment d\u00e9tect\u00e9e en volume \u2014 62 % de l’ensemble des d\u00e9tections en 2025 \u2014 ce sont les chevaux de Troie bancaires et les spywares qui enregistrent les progressions les plus marqu\u00e9es. Pour les DSI g\u00e9rant des flottes mobiles en environnement d’entreprise, la convergence entre la croissance du volume de variantes et l’extension des vecteurs de diffusion repr\u00e9sente une d\u00e9gradation mesurable de la surface d’exposition.<\/p>\n

Mamont domine les classements, Coper progresse fortement<\/p>\n

Les familles Mamont et Creduz concentrent l’essentiel du volume : Mamont repr\u00e9sente 49,8 % des nouveaux paquets de chevaux de Troie bancaires d\u00e9tect\u00e9s, Creduz 22,5 %. Dans le classement des attaques par banker, les variantes Mamont occupent six des dix premi\u00e8res positions, avec des hausses spectaculaires par rapport \u00e0 2024 pour les variantes .da (+14,79 points de pourcentage) et .db (+13,29 points). Coper.c progresse \u00e9galement de mani\u00e8re significative, passant de 7,19 % \u00e0 9,65 % des utilisateurs attaqu\u00e9s, et figure dans les donn\u00e9es r\u00e9gionales comme la souche dominante en Turquie \u2014 distribu\u00e9e via le dropper Hqwar.<\/p>\n

La progression de 255 090 paquets d’installation bancaires uniques d\u00e9tect\u00e9s confirme une strat\u00e9gie de prolif\u00e9ration par variantes. Produire des fichiers APK distincts en volume permet de saturer les moteurs de d\u00e9tection par signature et d’allonger la fen\u00eatre d’exposition avant neutralisation. Anton Kivva, malware analyst team lead chez Kaspersky, en tire une conclusion \u00e9conomique directe : \u00ab \u00c9tant donn\u00e9 le pic du nombre de paquets malveillants uniques, nous pouvons conclure que ces attaques g\u00e9n\u00e8rent des profits significatifs pour les cybercriminels. \u00bb<\/p>\n

Les donn\u00e9es r\u00e9gionales confirment une adaptation des souches aux contextes locaux. En Inde, les variantes Rewardsteal dominent avec plus de 90 % de concentration g\u00e9ographique, ciblant les donn\u00e9es de paiement sous couvert de faux programmes de r\u00e9compenses. En Allemagne, un cheval de Troie proxy \u00e9tait dissimul\u00e9 dans une application imitant un service de r\u00e9ductions d’une cha\u00eene de supermarch\u00e9s nationale. Au Br\u00e9sil, les droppers Pylcasa redirigent vers des pages de phishing ou des sites de jeux ill\u00e9gaux.<\/p>\n

Keenadu et Triada : des portes d\u00e9rob\u00e9es dans le firmware<\/p>\n

La menace la plus difficile \u00e0 neutraliser document\u00e9e par Kaspersky en 2025 n’est pas distribu\u00e9e par vecteur applicatif mais int\u00e9gr\u00e9e au firmware d’appareils Android avant leur commercialisation. La famille Triada et le backdoor Keenadu, d\u00e9couvert au quatri\u00e8me trimestre 2025, en sont les repr\u00e9sentants les plus actifs. Triada figure \u00e0 trois reprises dans le top 20 des malwares mobiles par nombre d’utilisateurs attaqu\u00e9s, dont une variante (.fe) qui est pass\u00e9e de 0,04 % \u00e0 9,84 % entre 2024 et 2025 \u2014 la plus forte progression du classement.<\/p>\n

Keenadu pr\u00e9sente une architecture particuli\u00e8rement agressive. Le code malveillant est inject\u00e9 dans `libandroid_runtime.so`, biblioth\u00e8que centrale de l’environnement d’ex\u00e9cution Java Android, ce qui lui permet d’entrer dans l’espace d’adressage de chaque application active sur l’appareil. Ses modules malveillants sont t\u00e9l\u00e9charg\u00e9s dynamiquement et peuvent \u00eatre mis \u00e0 jour \u00e0 distance, ce qui lui conf\u00e8re une capacit\u00e9 d’\u00e9volution post-infection ind\u00e9pendante de toute interaction utilisateur. Les actions observ\u00e9es incluent la manipulation de vues publicitaires, l’affichage de banni\u00e8res au nom d’autres applications et le d\u00e9tournement de requ\u00eates de recherche \u2014 mais la surface fonctionnelle r\u00e9elle est th\u00e9oriquement illimit\u00e9e.<\/p>\n

La rem\u00e9diation est structurellement contrainte. Une r\u00e9initialisation standard de l’appareil ne suffit pas \u00e0 \u00e9radiquer une backdoor pr\u00e9install\u00e9e dans le firmware. La seule voie document\u00e9e passe par la v\u00e9rification d’une mise \u00e0 jour firmware disponible aupr\u00e8s du constructeur, suivie d’une analyse compl\u00e8te du nouveau micrologiciel pour s’assurer qu’il n’est pas lui-m\u00eame compromis \u2014 une proc\u00e9dure qui suppose une politique de gestion du cycle de vie des terminaux dont peu d’organisations disposent pour leurs appareils personnels en contexte BYOD.<\/p>\n

Pour les \u00e9quipes IT, la convergence de deux vecteurs distincts, chevaux de Troie distribu\u00e9s par t\u00e9l\u00e9chargement et backdoors pr\u00e9install\u00e9es, complexifie la strat\u00e9gie de d\u00e9fense. Les politiques MDM classiques, centr\u00e9es sur le contr\u00f4le des installations applicatives et la gestion des mises \u00e0 jour OS, sont efficaces contre le premier vecteur mais inop\u00e9rantes contre le second. La tra\u00e7abilit\u00e9 de la cha\u00eene d’approvisionnement mat\u00e9rielle devient, dans ce contexte, une composante de la politique de s\u00e9curit\u00e9 des terminaux.<\/p>\n

La progression du volume de fichiers APK uniques li\u00e9s aux chevaux de Troie bancaires indique par ailleurs que les solutions de d\u00e9tection reposant exclusivement sur les signatures statiques seront de moins en moins efficaces. Pour les RSSI, la capacit\u00e9 des solutions EDR mobiles \u00e0 d\u00e9tecter les comportements anormaux \u00e0 l’ex\u00e9cution \u2014 acc\u00e8s aux donn\u00e9es de paiement, interception des codes OTP, communications avec des serveurs de commande et contr\u00f4le \u2014 ind\u00e9pendamment de la signature de la variante, devient le crit\u00e8re discriminant d’\u00e9valuation de leur outillage de s\u00e9curit\u00e9 mobile.<\/p>\n

publicit\u00e9
\n
\n\"banni\u00e8re\"\/
\n<\/a> <\/p>\n","protected":false},"excerpt":{"rendered":" Kaspersky avertit sur la recrudescence de portes d\u00e9rob\u00e9es pr\u00e9install\u00e9es dans le firmware d’appareils Android neufs, dont…\n","protected":false},"author":2,"featured_media":33821,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[70],"tags":[2798,12,13,18,17,17936,17937,17938,17939,73,71,75,72,76,74],"class_list":{"0":"post-33820","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-sciences-et-technologies","8":"tag-android","9":"tag-be","10":"tag-be-fr","11":"tag-belgique","12":"tag-belgium","13":"tag-chevaux-de-troie-bancaires","14":"tag-firmware","15":"tag-kaspersky","16":"tag-malware-mobile","17":"tag-science","18":"tag-science-and-technology","19":"tag-sciences","20":"tag-sciences-et-technologies","21":"tag-technologies","22":"tag-technology"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@be_fr\/116198108543573627","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/posts\/33820","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/comments?post=33820"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/posts\/33820\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/media\/33821"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/media?parent=33820"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/categories?post=33820"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/tags?post=33820"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}