Zimperium identifie 4 campagnes actives de chevaux de Troie bancaires Android ciblant plus de 800 applications

 

Une nouvelle étude de zLabs met en évidence l’essor des techniques d'évasion avancées, d’infrastructures de phishing sophistiquées et de capacités de prise de contrôle à distance pour voler des identifiants et mener des fraudes financières

 

Paris, le 20 avril 2026 — zLabs, la division de recherche de Zimperium, leader mondial de la sécurité mobile basée sur l'IA, révèle l’existence de 4 campagnes actives de chevaux de Troie bancaires Android (RecruitRat, SaferRat, Astrinox et Massiv) ciblant collectivement plus de 800.

Cette étude met en lumière l’évolution de ces familles de malwares, qui dépassent le simple vol d’identifiants. Elles s’appuient désormais sur des infrastructures de phishing sophistiquées, des superpositions (overlays) trompeuses, l’abus de fonctionnalités d’accessibilité, la capture d’écran ainsi que des techniques anti-analyse. Cette approche leur permet de contourner les mécanismes de détection, de faciliter la prise de contrôle des comptes et de faciliter la fraude financière.

 

Selon les chercheurs, ces campagnes reposent sur des infrastructures de commande et de contrôle (C2) robustes et sur des chaînes d'infection multi-étapes, leur permettant de s'implanter durablement sur les appareils compromis. Elles peuvent intercepter les mots de passe à usage unique (OTP) envoyés par SMS, de collecter les identifiants des appareils et d’exfiltrer des données sensibles en temps réel.

 

L’étude souligne également des taux de détection quasi nuls face aux solutions de sécurité mobile traditionnelles basées sur les signatures. Les hackers s’appuient sur des techniques avancées telles que la manipulation d'APK, l’utilisation de charges utiles chiffrées, le chargement dynamique de code et une exécution adaptée à l’environnement ciblé.

 

« À mesure que les cybercriminels adoptent une stratégie d'attaque mobile-first, les chevaux de Troie bancaires Android gagnent en furtivité et efficacité. Ces campagnes ne se limitent plus au vol d'identifiants, elles prennent désormais le contrôle de l'appareil lui-même pour contourner les mécanismes de sécurité et faciliter la fraude. Dans ce contexte, il devient nécessaire d'opter pour une sécurité mobile dédiée. » a déclaré Krishna Vishnubhotla, VP of Product Strategy chez Zimperium.

 

Principaux enseignements de zLabs :

• 4 familles actives de chevaux de Troie bancaires Android, présentant des chaînes d’infection et des comportements malveillants distincts.
• Plus de 800 applications ciblées dans les secteurs bancaire, des cryptomonnaies et des réseaux sociaux
• Des vecteurs de diffusion variés : sites de phishing, fausses offres d’emploi, services de streaming frauduleux et campagnes de smishing
• L'utilisation abusive de services d'accessibilité, de MediaProjection, d’overlays et d’API d'installation de session pour assurer la persistance et échapper à la détection
• Des capacités étendues : enregistrement de frappe (keylogging), capture d'écran, vol d'identifiants, interception de SMS, reconnaissance de l'appareil et injection d’overlays de de phishing

 

Le rapport souligne que les attaquants exploitent de plus en plus des services Android légitimes et des expériences utilisateur de confiance pour dissimuler leurs activités malveillantes. Dans plusieurs cas, les malwares se dissimulent sous des mises à jour système, des applications liées à l'emploi ou des services de streaming afin d'inciter les victimes à installer des APK malveillants. Une fois actifs, ils identifient de manière dynamique les applications bancaires et de cryptomonnaie présentes, déploient des overlays crédibles et collectent identifiants, codes PIN et codes d'authentification à usage unique.

 

Pour les entreprises, la menace dépasse largement le cadre de la fraude grand public. Les appareils mobiles compromis utilisés par les collaborateurs peuvent devenir de véritables points d’entrée pour intercepter les mécanismes d’authentification, de détourner des sessions et d'accéder à des ressources sensibles. Les malwares mobiles ne représentent donc plus seulement un risque de fraude, mais s’imposent comme une menace majeure pour la sécurité des entreprises.

 

Face à ces menaces en constante évolution, les clients de Zimperium restent protégés grâce aux capacités de Mobile Threat Defense et de protection en temps réel, basées sur l'IA et directement intégrées aux appareils. Ces technologies permettent d’identifier avant toute compromission les comportements suspects (abus des services d'accessibilité, partage d'écran furtif, sideloading malveillant et infrastructures de phishing).

 

L'étude complète, incluant une analyse technique détaillée, des correspondances avec le framework MITRE ATT&CK et des indicateurs de compromission, est disponible ICI.

 

À propos de Zimperium

Zimperium est le leader mondial de la sécurité mobile. Conçu pour les environnements mobiles, Zimperium offre une protection inégalée pour les applications mobiles et les appareils mobiles, en s'appuyant sur une sécurité mobile autonome pilotée par l'IA pour contrer les menaces en constante évolution, notamment le phishing (hameçonnage) ciblant les mobiles, les malwares mobiles, les vulnérabilités des applications et leur compromission, ainsi que les menaces de type « zero-day ». Alors que les cybercriminels adoptent une stratégie d'attaque axée sur le mobile, Zimperium permet aux entreprises de garder une longueur d'avance grâce à une protection proactive et optimale de leurs applications et des appareils mobiles de leurs employés essentiels à leur activité. Basé à Dallas, au Texas, Zimperium est soutenu par Liberty Strategic Capital et SoftBank.

Plus d’informations sur www.zimperium.com, LinkedIn et X (@Zimperium).

 

Contact Presse

Caroline Pain/Sandra Laberenne

[email protected] / [email protected]

06.50.42.07.67/ 06.43.19.13.88