Kaspersky avertit sur la recrudescence de portes dérobées préinstallées dans le firmware d'appareils Android neufs, dont Keenadu et plusieurs variantes de Triada. Au total, les solutions Kaspersky ont bloqué 14 059 465 attaques mobiles en 2025, soit une moyenne de 1,17 million par mois.
Les données sont issues du Kaspersky Security Network (KSN), réseau mondial d'analyse de renseignements sur les menaces alimenté anonymement par les utilisateurs. Kaspersky précise que sa méthodologie statistique a été mise à jour depuis le troisième trimestre 2025, ce qui peut rendre les chiffres incomparables avec les publications antérieures — à l'exception des statistiques sur les paquets d'installation, qui restent calculées selon la méthode d'origine. Les chiffres de progression présentés dans les communications commerciales de l'éditeur peuvent ainsi différer des données du rapport primaire.
Les chevaux de Troie bancaires mobiles ont pour fonction principale l'exfiltration de credentials : identifiants pour les services bancaires en ligne, systèmes de paiement électronique et données de cartes de crédit. Bien que les adwares restent la menace la plus fréquemment détectée en volume — 62 % de l'ensemble des détections en 2025 — ce sont les chevaux de Troie bancaires et les spywares qui enregistrent les progressions les plus marquées. Pour les DSI gérant des flottes mobiles en environnement d'entreprise, la convergence entre la croissance du volume de variantes et l'extension des vecteurs de diffusion représente une dégradation mesurable de la surface d'exposition.
Mamont domine les classements, Coper progresse fortement
Les familles Mamont et Creduz concentrent l'essentiel du volume : Mamont représente 49,8 % des nouveaux paquets de chevaux de Troie bancaires détectés, Creduz 22,5 %. Dans le classement des attaques par banker, les variantes Mamont occupent six des dix premières positions, avec des hausses spectaculaires par rapport à 2024 pour les variantes .da (+14,79 points de pourcentage) et .db (+13,29 points). Coper.c progresse également de manière significative, passant de 7,19 % à 9,65 % des utilisateurs attaqués, et figure dans les données régionales comme la souche dominante en Turquie — distribuée via le dropper Hqwar.
La progression de 255 090 paquets d'installation bancaires uniques détectés confirme une stratégie de prolifération par variantes. Produire des fichiers APK distincts en volume permet de saturer les moteurs de détection par signature et d'allonger la fenêtre d'exposition avant neutralisation. Anton Kivva, malware analyst team lead chez Kaspersky, en tire une conclusion économique directe : « Étant donné le pic du nombre de paquets malveillants uniques, nous pouvons conclure que ces attaques génèrent des profits significatifs pour les cybercriminels. »
Les données régionales confirment une adaptation des souches aux contextes locaux. En Inde, les variantes Rewardsteal dominent avec plus de 90 % de concentration géographique, ciblant les données de paiement sous couvert de faux programmes de récompenses. En Allemagne, un cheval de Troie proxy était dissimulé dans une application imitant un service de réductions d'une chaîne de supermarchés nationale. Au Brésil, les droppers Pylcasa redirigent vers des pages de phishing ou des sites de jeux illégaux.
Keenadu et Triada : des portes dérobées dans le firmware
La menace la plus difficile à neutraliser documentée par Kaspersky en 2025 n'est pas distribuée par vecteur applicatif mais intégrée au firmware d'appareils Android avant leur commercialisation. La famille Triada et le backdoor Keenadu, découvert au quatrième trimestre 2025, en sont les représentants les plus actifs. Triada figure à trois reprises dans le top 20 des malwares mobiles par nombre d'utilisateurs attaqués, dont une variante (.fe) qui est passée de 0,04 % à 9,84 % entre 2024 et 2025 — la plus forte progression du classement.
Keenadu présente une architecture particulièrement agressive. Le code malveillant est injecté dans `libandroid_runtime.so`, bibliothèque centrale de l'environnement d'exécution Java Android, ce qui lui permet d'entrer dans l'espace d'adressage de chaque application active sur l'appareil. Ses modules malveillants sont téléchargés dynamiquement et peuvent être mis à jour à distance, ce qui lui confère une capacité d'évolution post-infection indépendante de toute interaction utilisateur. Les actions observées incluent la manipulation de vues publicitaires, l'affichage de bannières au nom d'autres applications et le détournement de requêtes de recherche — mais la surface fonctionnelle réelle est théoriquement illimitée.
La remédiation est structurellement contrainte. Une réinitialisation standard de l'appareil ne suffit pas à éradiquer une backdoor préinstallée dans le firmware. La seule voie documentée passe par la vérification d'une mise à jour firmware disponible auprès du constructeur, suivie d'une analyse complète du nouveau micrologiciel pour s'assurer qu'il n'est pas lui-même compromis — une procédure qui suppose une politique de gestion du cycle de vie des terminaux dont peu d'organisations disposent pour leurs appareils personnels en contexte BYOD.
Pour les équipes IT, la convergence de deux vecteurs distincts, chevaux de Troie distribués par téléchargement et backdoors préinstallées, complexifie la stratégie de défense. Les politiques MDM classiques, centrées sur le contrôle des installations applicatives et la gestion des mises à jour OS, sont efficaces contre le premier vecteur mais inopérantes contre le second. La traçabilité de la chaîne d'approvisionnement matérielle devient, dans ce contexte, une composante de la politique de sécurité des terminaux.
La progression du volume de fichiers APK uniques liés aux chevaux de Troie bancaires indique par ailleurs que les solutions de détection reposant exclusivement sur les signatures statiques seront de moins en moins efficaces. Pour les RSSI, la capacité des solutions EDR mobiles à détecter les comportements anormaux à l'exécution — accès aux données de paiement, interception des codes OTP, communications avec des serveurs de commande et contrôle — indépendamment de la signature de la variante, devient le critère discriminant d'évaluation de leur outillage de sécurité mobile.
