Un exemple clair est la famille nommée PixRevolution, analysée par Zimperium. Ce malware s'est concentré sur le Brésil et son objectif principal est la plateforme de paiement instantanée Pix. Au lieu de voler des lettres de créances, attendre le moment exact où la victime commence un transfert, capture l'écran et remplace la « touche Pix » du bénéficiaire par celle de l'agresseur, tout en montrant un faux écran de charge pour que la victime ne soupçonne pas. Puisque les transferts via Pix sont instantanés et définitifs, la récupération d'argent est souvent extrêmement compliquée. Plus de détails techniques peuvent être trouvés dans le rapport Zimperium et la documentation officielle sur Pix de la Banque centrale du Brésil: Zimperium - PixRevolution et Banco Central do Brasil - Pix.
Une autre famille inquiétante trouvée au Brésil est BeatBanker. Les chercheurs de Kaspersky montrent que sa distribution est basée sur des pages qui imitent le magasin d'applications pour tromper les victimes. BeatBanker combine plusieurs capacités : une composante minière de cryptomonedas, un module bancaire avec superposition qui remplace les adresses de destination dans les transferts (par exemple USDT) et des mécanismes non orthodoxes pour rester actif dans le système. Il surprend son tour de persistance : il reproduit un fichier audio presque inaudible en boucle pour rendre difficile pour le système d'exploitation de tuer son processus. L'analyse de Kaspersky décrit ces comportements et les défenses que l'échantillon utilise : Kaspersky - BeatBanker.
Dans la même ligne de menaces hybrides, il y a axiSpy RAT, qui combine l'usurpation des interfaces (overlay) avec une surveillance complète de l'appareil. Cette famille abuse des services d'accessibilité et de l'API Screenshot pour recueillir des messages SMS, des enregistrements d'appels, des contacts, du contenu du presse-papiers, des modèles de verrouillage et même des clics clés. Il intègre également les techniques d'évitement, le chiffrement de la comptabilité native et la télécommande de type VNC sur WebSocket. Les rapports de CYFIRMA et d'autres entreprises recueillent des échantillons et des signes que les auteurs cherchent à échapper aux signatures et aux listes noires : CYFIRMA - TaxiSpy et Zimperium - CIOs TaxiSpy.
Outre les familles privées, l'écosystème criminel est organisé commercialement. Il y a des produits qui sont offerts sous forme d'abonnement ou de paiement unique et mettent ces capacités à la disposition des acheteurs avec peu de connaissances techniques. Mirax, par exemple, a été promu comme un service privé avec superposition bancaire, enregistrement de la presse et SOCKS5, aux prix qui ont été divulgués dans les forums. Un autre cas récent est Oblivion, un RAT qui est vendu avec la promesse de supprimer les protections des fabricants mobiles et automatiser l'octroi des autorisations dans les couches Android personnalisées (Samsung, Xiaomi, OPPO, etc.). Ces développements ont été détectés et discutés par les analystes et les publications après la vente de ces menaces : publication sur Mirax et analyse d'Olivion par Certo.
Un vecteur commercial supplémentaire est SURXRAT, distribué par les canaux dans Telegram et considéré comme une évolution des familles précédentes. SURXRAT utilise les permis d'accessibilité et l'infrastructure Firebase pour communiquer avec ses opérateurs. La chose la plus troublante : certaines copies téléchargent un module grand langage (LLM) dans des conditions très spécifiques - par exemple, lorsqu'elles détectent que la victime a certains jeux installés - et incluent également des modules "locker" qui bloquent l'écran en demandant le sauvetage. Le rapport Cyble examine ces capacités émergentes et suggère que les attaquants testent pour intégrer l'IA dans leurs outils : Cyble - SURXRAT et LLM.
Comment ces menaces arrivent au téléphone ? Les attaques combinent des techniques sociales et techniques: des pages qui simulent le magasin officiel, APKS "dropper" pour forcer l'installation hors de Google Play, des demandes de permis d'accessibilité qui facilitent le contrôle complet, des API légitimes comme MediaProjection pour capturer l'écran et des services comme Firebase pour recevoir des commandes à distance. Avec ces ingrédients, les attaquants peuvent afficher l'écran en temps réel, superposer de fausses vues pour modifier les informations affichées et exécuter des commandes distantes.
L'évolution technologique des logiciels malveillants implique également des améliorations dans son ingénierie pour éviter l'analyse: cryptage de bibliothèque native, opuscation en chaîne, contrôles d'environnement émulés, et mécanismes de persistance qui rendent difficile à supprimer. Pire encore, le modèle "malware as service" abaisse la barrière d'entrée : toute personne ayant des ressources peut louer ou acheter ces outils et lancer des campagnes ciblées.
Dans ce contexte, il existe des mesures pratiques que tout le monde peut mettre en œuvre immédiatement pour réduire le risque. Ne téléchargez pas les applications à partir de pages ou de liens suspects ; préférez toujours le magasin officiel et vérifiez la réputation du développeur. Ne pas accorder de permis d'accès aux demandes qui ne l'exigent pas expressément et examine régulièrement les applications qui ont ce privilège. Gardez le système d'exploitation et les applications à jour, activez les protections Google Play Protect et utilisez une authentification supplémentaire (notifications bancaires, codes d'exploitation, 2FA) pour les transactions bancaires. En cas de doute sur un transfert, contactez immédiatement l'institution financière : en cas d'opérations comme Pix, le temps est essentiel. Pour plus de conseils sur les protections Google Play, consultez la documentation Play Protect : Google Play Protéger.
L'émergence de composants basés sur l'IA dans des paquets malveillants est un avertissement: les attaquants expérimentent de nouvelles façons d'automatiser l'interaction avec la victime, d'adapter les attaques et d'éviter les détections. Cela signifie non seulement une plus grande sophistication technique, mais aussi la nécessité pour les défenses et la réglementation d'avancer au même rythme. Entre-temps, le meilleur vaccin demeure la prudence de l'utilisateur et une réponse rapide à tout signe d'activité suspecte.
Si vous pensez que votre appareil a été compromis, déconnectez-le des réseaux, changez de mot de passe d'une autre équipe sécurisée et contactez votre banque pour bloquer les opérations. Signaler l'incident aux autorités locales et aux services de sécurité aide à cartographier et à arrêter ces campagnes. La menace augmente et est professionnalisée, mais avec la prévention et la réaction rapide les dommages peuvent être minimisés.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...