1 septembre 2025 – Une évolution inquiétante s’opère actuellement dans l’écosystème du malwareLogiciel malveillant conçu pour endommager, voler ou espionner. Un cheval de Troie bancaire récupère vos identifiants. Symantec mobile : les droppers Android — ces applications apparemment innocentes utilisées pour installer des logiciels malveillants — commencent à télécharger non plus uniquement des chevaux de Troie bancaires, mais aussi des SMS stealers et des variantes légères de spyware. Ces attaques sont particulièrement répandues dans des pays comme l’Inde et certaines régions d’Asie, selon les experts de ThreatFabric. The Hacker NewsCyber Security News
Une tactique d’évasion bien rodée
Contourner Google Play Protect
Google a renforcé ses protections via le Pilot Program, un dispositif de filtrage avancé dans certains marchés (Inde, Brésil, Thaïlande, Singapour…). Ce programme bloque l’installation d’apps demandant des permissions sensibles comme l’accès aux SMS ou aux services d’accessibilité. The Hacker Newsthreatfabric.com
Pour les attaquants, la réponse est simple : ils créent des droppers dépourvus de permissions suspectes et affichant un écran “update” inoffensif qui passe la détection. Ce n’est qu’après l’installation que l’application télécharge et active le payload réel (stealer ou spyware), requérant alors les permissions critiques comme RECEIVE_SMS ou BIND_NOTIFICATION. The Hacker NewsCyber Security News
Cas concret : RewardDropMiner et autres familles malveillantes
RewardDropMiner : anciennement utilisé comme mineur de cryptomonnaie (Monero), ce dropper se contente désormais d’un rôle de moule vide servant à injecter des charges utiles variées selon les besoins de l’attaquant. Cyber Security Newsthreatfabric.com
Autres droppers notables :
SecuriDropper
Zombinder
BrokewellDropper
HiddenCatDropper
TiramisuDropper
Tous particulièrement conçus pour contourner les protections de Play Protect et de son Pilot Program. threatfabric.com
Pourquoi cette tendance inquiète
Flexibilité et durabilité : la même infrastructure de dropper peut servir à diffuser n’importe quel malwareLogiciel malveillant conçu pour endommager, voler ou espionner. Un cheval de Troie bancaire récupère vos identifiants. Symantec, facilitant les opérations malveillantes sans devoir redéployer l’ensemble du code.
Faible visibilité initiale : l’absence de permissions suspectes au démarrage rend ces applications quasiment invisibles aux scans automatiques.
Adaptation continue : les attaquants observent attentivement les mécanismes de sécurité régionaux pour ajuster leur modèle d’attaque en temps réel. threatfabric.com
Recommandations pour renforcer la sécurité mobile
| Mesure | Description |
|---|---|
| Interdire les sources inconnues | Désactiver l’installation hors Play Store sauf cas autorisés et connus. |
| Filtrage comportemental des droppers | Surveiller les apps affichant un “update” trompeur puis demandant des permissions sensibles. |
| Analyser les permissions post-installation | Détecter les demandes de RECEIVE_SMS, BIND_NOTIFICATION après la première exécution. |
| Sensibilisation utilisateurs | Apprendre à douter des mises à jour inopinées, surtout hors des stores officiels. |
| Outils EDROutil surveillant et réagissant aux menaces sur les terminaux. CrowdStrike bloque une attaque en temps réel. Gartner/MDM explicitement Android | Détecter et bloquer les comportements typiques de droppers ou des payloads malveillants. |
En conclusion
La montée en puissance des droppers Android spécialisés dans la livraison flexible de malwareLogiciel malveillant conçu pour endommager, voler ou espionner. Un cheval de Troie bancaire récupère vos identifiants. Symantec (SMS stealer ou spyware) illustre que la menace mobile est devenue plus insidieuse et adaptable. La sécurité mobile nécessite désormais une approche dynamique : à chaque installation autorisée doit correspondre une vigilance de chaque instant.