Les attaques visant Android changent d’échelle, avec des dommages liés à la cybercriminalité mobile estimés à 442 milliards d’euros. Les APK piégés, les fausses mises à jour système et les campagnes de phishing dopées à l’IA rendent les arnaques plus difficiles à repérer. Au premier trimestre, les trojans bancaires ont bondi de 196 %, pour atteindre 1,24 million de cas.
Les faux fichiers APK deviennent une arme massive contre Android
Les chercheurs en sécurité observent une forte hausse des attaques fondées sur des applications Android modifiées. Le principe reste simple : pousser l’utilisateur à installer un fichier APK en dehors des boutiques officielles, puis exploiter les autorisations accordées.
Le phénomène est d’autant plus préoccupant que 86 % des campagnes de phishing seraient désormais pilotées par l’IA. Les messages frauduleux deviennent plus crédibles, mieux rédigés et plus adaptés à chaque cible.
Les cybercriminels ne s’appuient plus seulement sur des e-mails grossiers. Ils utilisent WhatsApp, Telegram, les réseaux sociaux et les tendances virales pour diffuser leurs pièges.
Cockroach Janta Party, le buzz transformé en piège bancaire
Un cas récent illustre cette méthode. À la mi-mai, une figure des réseaux sociaux suivie par 20 millions d’abonnés a lancé le mouvement satirique “Cockroach Janta Party”, aussi appelé CJP.
Des groupes criminels ont rapidement exploité cette popularité en diffusant un fichier nommé “Cockroach Janta Party.apk” sur WhatsApp et Telegram.
Selon TraceX Labs, ce fichier d’environ 5 Mo agit à la fois comme RAT et comme trojan bancaire. Une fois installé, il demande l’accès aux SMS et aux services d’accessibilité d’Android.
Ces autorisations peuvent permettre d’intercepter des codes à usage unique, de consulter des données bancaires ou même de déclencher des opérations frauduleuses, dont des demandes de crédit.
La police de Ludhiana a lancé une alerte le 23 mai contre ces liens de phishing. Une opération a déjà mené à 132 arrestations et à la saisie de fortes sommes en espèces.
Une faille Qualcomm non corrigeable ajoute un risque durable
Les attaques ne reposent pas uniquement sur la manipulation des utilisateurs. Les criminels exploitent aussi des failles techniques profondes.
La vulnérabilité CVE-2026-25262, détectée dans le BootROM de puces Qualcomm, est particulièrement sensible. Elle se situe au niveau matériel, ce qui la rend considérée comme non corrigeable par une mise à jour logicielle classique.
Ce type de faille ouvre la voie à des attaques capables de s’activer avant même le démarrage complet du système d’exploitation.
Dans le même temps, les familles de malwares Android se multiplient. Le trojan Mamont représenterait environ 70 % des attaques Android. Au Brésil, Brats cible le système de paiement Pix. Une autre campagne diffuse BeatBanker sous l’apparence d’une application Starlink.
BeatBanker utilise une boucle audio persistante pour rester actif en arrière-plan. Il peut aussi collecter des codes PIN et des données GPS.
Les QR codes piégés progressent aussi très vite
Le phishing par QR code, souvent appelé quishing, connaît lui aussi une forte accélération. Les cas signalés auraient augmenté de 150 %, pour atteindre 18 millions.
Cette technique fonctionne car elle déplace l’attaque vers le smartphone. Un QR code affiché dans un e-mail, sur une affiche ou dans un message peut conduire vers une fausse page de connexion ou déclencher le téléchargement d’un fichier malveillant.
Sur mobile, les indices visuels sont souvent moins visibles que sur ordinateur. L’adresse complète du site, les certificats ou les redirections passent plus facilement inaperçus.
Google et Apple renforcent leurs protections mobiles
Google a commencé à déployer de nouvelles protections via Play Services 26.19. Parmi elles figure Theft Detection Lock, une fonction de verrouillage en cas de détection de vol.
Pour Android 17, Google prépare aussi une détection des menaces en direct aidée par l’IA. Le système doit analyser les comportements suspects des applications en temps réel.
Apple avance de son côté sur iOS. Avec iOS 26.5, la marque a corrigé 52 failles de sécurité et introduit le chiffrement RCS.
Cette mise à jour arrive alors que des autorités de sécurité ont alerté, le 24 mai, sur une vague de phishing visant les propriétaires d’iPhone. Les attaquants se font passer pour l’assistance Apple afin de voler des identifiants Apple ID et des codes à usage unique.
WhatsApp se retrouve au cœur d’un conflit juridique
Le débat autour de la sécurité des messageries s’intensifie aussi. Le Texas a déposé plainte contre Meta le 21 mai, en accusant l’entreprise d’avoir trompé les consommateurs sur la sécurité réelle du chiffrement de bout en bout de WhatsApp.
L’accusation affirme que des employés pourraient accéder à certains contenus. Meta rejette ces accusations et les juge inexactes.
Le 23 mai, Pavel Durov, fondateur de Telegram, a lui aussi critiqué le chiffrement de WhatsApp, en évoquant de possibles portes dérobées. Des experts en cryptographie de l’ETH Zurich et de l’université Johns Hopkins rappellent de leur côté qu’aucune preuve solide ne confirme une faiblesse volontaire du chiffrement.
Le vol de smartphone se combine désormais au phishing
La cybercriminalité mobile évolue vers des attaques hybrides. Un vol physique de smartphone peut être suivi d’une fraude numérique visant à prendre le contrôle du compte cloud, de la messagerie ou des services bancaires.
Les escrocs envoient par exemple de faux messages d’assistance pour pousser la victime à communiquer des codes, désactiver une protection ou valider une connexion.
Les dégâts liés à l’usurpation d’identité atteindraient 25 milliards d’euros, avec environ 18 millions de victimes dans le monde.
L’IA abaisse aussi le niveau technique nécessaire pour lancer des arnaques crédibles. Des deepfakes peuvent servir à promouvoir de fausses plateformes d’investissement. Les autorités indiennes ont identifié le 24 mai une vidéo falsifiée mettant en scène la ministre des Finances pour soutenir une arnaque financière.
Les bons réflexes restent simples, mais décisifs
La règle la plus sûre reste de ne pas installer de fichiers APK provenant de sources inconnues. Les applications doivent être téléchargées depuis les boutiques officielles, où Google Play Protect bloque une grande partie des menaces connues.
Les passkeys prennent aussi une place plus forte dans la sécurité des comptes. Les mots de passe classiques inspirent moins confiance : seuls un tiers des utilisateurs les considéreraient encore comme réellement sûrs.
Les États renforcent également leur réponse. En Allemagne, une nouvelle loi sur l’identité numérique a été adoptée le 21 mai. À l’échelle internationale, l’opération Interpol FRONTIER+ III a conduit à environ 3 000 arrestations et à la saisie de plus de 160 millions de dollars.
Les prochains mois diront si les protections intégrées à Android, iOS et aux services en ligne peuvent suivre le rythme des groupes criminels, alors que la WWDC de juin et l’arrivée progressive d’Android 17 devraient apporter de nouvelles réponses.
Je m’appelle Samuel Le Goff. À 38 ans, je suis l’actualité du numérique depuis plus de 14 ans. Aujourd’hui, je m’intéresse particulièrement aux smartphones et aux usages concrets de l’intelligence artificielle, que je traite à travers des contenus clairs et accessibles sur Menow.fr.
