RedPacket SecurityRokarolla Android Banking Trojan: Fraud, Device Takeover, and Stealth Surveillance - https://www.redpacketsecurity.com/rokarolla-trojan-combines-banking-fraud-with-device-surveillance/
#threatintel #Android_malware #banking_trojans #device_takeover
CyberVeille.ch📢 NGate : nouvelle variante Android trojanisant HandyPay pour voler des données NFC au Brésil
📝 ## 🔍 Contexte
Publié le 21 avril 2026 par ESET Research (Lukas Stefanko)...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-24-ngate-nouvelle-variante-android-trojanisant-handypay-pour-voler-des-donnees-nfc-au-bresil/
🌐 source : https://www.welivesecurity.com/en/eset-research/new-ngate-variant-hides-in-a-trojanized-nfc-payment-app/
#Android_malware #GenAI_malware #Cyberveille
NGate : nouvelle variante Android trojanisant HandyPay pour voler des données NFC au Brésil
🔍 Contexte Publié le 21 avril 2026 par ESET Research (Lukas Stefanko), cet article présente la découverte d’une nouvelle variante du malware NGate ciblant des utilisateurs Android au Brésil, active depuis novembre 2025. 🦠 Description du malware Les attaquants ont trojanisé l’application légitime HandyPay (disponible sur Google Play depuis 2021), qui permet nativement de relayer des données NFC entre appareils. Le code malveillant injecté présente des signes d’avoir été généré par GenAI/LLM (présence d’emojis dans les logs, typiques des textes générés par IA).
📢 Un faux contrôle de sécurité Google transforme un PWA en RAT navigateur et livre un implant Android
📝 Selon Malwarebytes, une campagne d’ingénierie sociale imi...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-04-un-faux-controle-de-securite-google-transforme-un-pwa-en-rat-navigateur-et-livre-un-implant-android/
🌐 source : https://www.malwarebytes.com/blog/privacy/2026/02/inside-a-fake-google-security-check-that-becomes-a-browser-rat
#Android_malware #IOC #Cyberveille
📝 Selon Malwarebytes, une campagne d’ingénierie sociale imi...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-04-un-faux-controle-de-securite-google-transforme-un-pwa-en-rat-navigateur-et-livre-un-implant-android/
🌐 source : https://www.malwarebytes.com/blog/privacy/2026/02/inside-a-fake-google-security-check-that-becomes-a-browser-rat
#Android_malware #IOC #Cyberveille
Un faux contrôle de sécurité Google transforme un PWA en RAT navigateur et livre un implant Android
Selon Malwarebytes, une campagne d’ingénierie sociale imite une page « Google Account Security » pour pousser les victimes à installer un PWA et, pour celles qui obéissent à tous les prompts, un APK Android déguisé en mise à jour critique; l’infrastructure C2 s’appuie sur le domaine google-prism[.]com, routé via Cloudflare. Le flux web en 4 étapes demande l’« installation » du PWA (masquant la barre d’adresse), l’autorisation de notifications push, la sélection et l’envoi de contacts via le Contact Picker API, puis l’accès à la position GPS (latitude, longitude, altitude, cap, vitesse). Une fois installé, le script de page lit le presse-papiers lors des événements de focus/visibilité, tente d’intercepter les SMS via WebOTP, dresse une empreinte détaillée du device et effectue un heartbeat toutes les 30 s.
📢 Découverte de DCHSpy : un logiciel espion Android ciblant les utilisateurs iraniens
📝 Les chercheurs de **Lookout** ont mis en lumière une campagne sophistiquée de logiciel espion Android, nommée **DCHSpy**, a...
📖 cyberveille : https://cyberveille.ch/posts/2025-08-02-decouverte-de-dchspy-un-logiciel-espion-android-ciblant-les-utilisateurs-iraniens/
🌐 source : https://blog.polyswarm.io/static-kitten-observed-using-dchspy-android-malware
#Android_malware #DCHSpy #Cyberveille
📝 Les chercheurs de **Lookout** ont mis en lumière une campagne sophistiquée de logiciel espion Android, nommée **DCHSpy**, a...
📖 cyberveille : https://cyberveille.ch/posts/2025-08-02-decouverte-de-dchspy-un-logiciel-espion-android-ciblant-les-utilisateurs-iraniens/
🌐 source : https://blog.polyswarm.io/static-kitten-observed-using-dchspy-android-malware
#Android_malware #DCHSpy #Cyberveille
Découverte de DCHSpy : un logiciel espion Android ciblant les utilisateurs iraniens
Les chercheurs de Lookout ont mis en lumière une campagne sophistiquée de logiciel espion Android, nommée DCHSpy, attribuée au groupe de menaces iranien Static Kitten. Cette campagne cible spécifiquement les utilisateurs mobiles iraniens en exploitant des applications VPN et Starlink trompeuses, distribuées via des campagnes de phishing. DCHSpy est actif depuis octobre 2023, en plein conflit régional, et est conçu pour exfiltrer des données sensibles telles que les messages WhatsApp, les données de localisation, les photos et les journaux d’appels. Le malware exploite des tactiques d’ingénierie sociale et tire parti de la demande d’accès Internet non censuré en Iran.
📢 Le malware Android Konfety réapparaît avec des techniques d'évasion avancées
📝 L'article publié par PolySwarm met en lumière la réapparition du **malware Android Konfety**, connu pour ses **capacités d'évasion sophistiquées** telles qu...
📖 cyberveille : https://cyberveille.ch/posts/2025-07-28-le-malware-android-konfety-reapparait-avec-des-techniques-d-evasion-avancees/
🌐 source : https://blog.polyswarm.io/konfety-android-malware
#Android_malware #DEX_injection #Cyberveille
📝 L'article publié par PolySwarm met en lumière la réapparition du **malware Android Konfety**, connu pour ses **capacités d'évasion sophistiquées** telles qu...
📖 cyberveille : https://cyberveille.ch/posts/2025-07-28-le-malware-android-konfety-reapparait-avec-des-techniques-d-evasion-avancees/
🌐 source : https://blog.polyswarm.io/konfety-android-malware
#Android_malware #DEX_injection #Cyberveille
Le malware Android Konfety réapparaît avec des techniques d'évasion avancées
L’article publié par PolySwarm met en lumière la réapparition du malware Android Konfety, connu pour ses capacités d’évasion sophistiquées telles que le chargement dynamique de code et l’obfuscation multi-couches. Ce malware est principalement utilisé pour des fraudes publicitaires tout en évitant la détection par les systèmes de sécurité. Konfety utilise des techniques d’injection à l’exécution où le fichier DEX principal gère l’installation initiale avant de déléguer les opérations à un fichier DEX secondaire caché, déchiffré à partir d’actifs APK cryptés. Les incohérences dans le fichier AndroidManifest.xml servent d’indicateurs de détection, avec des composants non déclarés.
📢 Nouvelles variantes du malware DCHSpy utilisées par MuddyWater
📝 Lookout a découvert de nouvelles variantes du **malware de surveillance Android DCHSpy** déployé par le groupe APT iranien **MuddyWater...
📖 cyberveille : https://cyberveille.ch/posts/2025-07-21-nouvelles-variantes-du-malware-dchspy-utilisees-par-muddywater/
🌐 source : https://security.lookout.com/threat-intelligence/article/lookout-discovers-iranian-dchsy-surveillanceware
#Android_malware #DCHSpy #Cyberveille
📝 Lookout a découvert de nouvelles variantes du **malware de surveillance Android DCHSpy** déployé par le groupe APT iranien **MuddyWater...
📖 cyberveille : https://cyberveille.ch/posts/2025-07-21-nouvelles-variantes-du-malware-dchspy-utilisees-par-muddywater/
🌐 source : https://security.lookout.com/threat-intelligence/article/lookout-discovers-iranian-dchsy-surveillanceware
#Android_malware #DCHSpy #Cyberveille
Nouvelles variantes du malware DCHSpy utilisées par MuddyWater
Lookout a découvert de nouvelles variantes du malware de surveillance Android DCHSpy déployé par le groupe APT iranien MuddyWater dans le cadre du conflit Israël-Iran. Ce malware cible les appareils mobiles à travers des applications VPN malveillantes distribuées via Telegram, utilisant potentiellement des leurres thématiques liés à StarLink. DCHSpy collecte des données personnelles étendues, notamment des messages WhatsApp, des contacts, des SMS, des données de localisation, et peut enregistrer de l’audio et capturer des photos. Le groupe de menaces continue de développer ce logiciel de surveillance avec des capacités améliorées pour l’identification de fichiers et l’exfiltration de données, représentant des activités d’espionnage mobile parrainées par l’État iranien.
Mandrake Spyware Infects 32,000 Devices Via Google Play Apps - https://www.redpacketsecurity.com/mandrake-spyware-infects-32-000-devices-via-google-play-apps/
#threatintel #android_malware #cyber_espionage #malware_detection
Arid Viper Hackers Spy in Egypt and Palestine Using Android Spyware - https://www.redpacketsecurity.com/arid-viper-hackers-spy-in-egypt-and-palestine-using-android-spyware/
#threatintel #cyber_espionage #android_malware #trojanized_apps
TeaBot Banking Trojan Activity on the Rise, Zscaler Observes - https://www.redpacketsecurity.com/teabot-banking-trojan-activity-on-the-rise-zscaler-observes/
FjordPhantom Android Malware Targets Banks With Virtualization - https://www.redpacketsecurity.com/fjordphantom-android-malware-targets-banks-with-virtualization/
#threatintel #Android_malware #FjordPhantom #Banking_security
