RedPacket SecurityRokarolla Android Banking Trojan: Fraud, Device Takeover, and Stealth Surveillance - https://www.redpacketsecurity.com/rokarolla-trojan-combines-banking-fraud-with-device-surveillance/
#threatintel #Android_malware #banking_trojans #device_takeover
CyberVeille.chđą NGate : nouvelle variante Android trojanisant HandyPay pour voler des donnĂ©es NFC au BrĂ©sil
đ ## đ Contexte
Publié le 21 avril 2026 par ESET Research (Lukas Stefanko)...
đ cyberveille : https://cyberveille.ch/posts/2026-04-24-ngate-nouvelle-variante-android-trojanisant-handypay-pour-voler-des-donnees-nfc-au-bresil/
đ source : https://www.welivesecurity.com/en/eset-research/new-ngate-variant-hides-in-a-trojanized-nfc-payment-app/
#Android_malware #GenAI_malware #Cyberveille
NGate : nouvelle variante Android trojanisant HandyPay pour voler des données NFC au Brésil
đ Contexte PubliĂ© le 21 avril 2026 par ESET Research (Lukas Stefanko), cet article prĂ©sente la dĂ©couverte dâune nouvelle variante du malware NGate ciblant des utilisateurs Android au BrĂ©sil, active depuis novembre 2025. đŠ Description du malware Les attaquants ont trojanisĂ© lâapplication lĂ©gitime HandyPay (disponible sur Google Play depuis 2021), qui permet nativement de relayer des donnĂ©es NFC entre appareils. Le code malveillant injectĂ© prĂ©sente des signes dâavoir Ă©tĂ© gĂ©nĂ©rĂ© par GenAI/LLM (prĂ©sence dâemojis dans les logs, typiques des textes gĂ©nĂ©rĂ©s par IA).
đą Un faux contrĂŽle de sĂ©curitĂ© Google transforme un PWA en RAT navigateur et livre un implant Android
đ Selon Malwarebytes, une campagne dâingĂ©nierie sociale imi...
đ cyberveille : https://cyberveille.ch/posts/2026-03-04-un-faux-controle-de-securite-google-transforme-un-pwa-en-rat-navigateur-et-livre-un-implant-android/
đ source : https://www.malwarebytes.com/blog/privacy/2026/02/inside-a-fake-google-security-check-that-becomes-a-browser-rat
#Android_malware #IOC #Cyberveille
đ Selon Malwarebytes, une campagne dâingĂ©nierie sociale imi...
đ cyberveille : https://cyberveille.ch/posts/2026-03-04-un-faux-controle-de-securite-google-transforme-un-pwa-en-rat-navigateur-et-livre-un-implant-android/
đ source : https://www.malwarebytes.com/blog/privacy/2026/02/inside-a-fake-google-security-check-that-becomes-a-browser-rat
#Android_malware #IOC #Cyberveille
Un faux contrÎle de sécurité Google transforme un PWA en RAT navigateur et livre un implant Android
Selon Malwarebytes, une campagne dâingĂ©nierie sociale imite une page « Google Account Security » pour pousser les victimes Ă installer un PWA et, pour celles qui obĂ©issent Ă tous les prompts, un APK Android dĂ©guisĂ© en mise Ă jour critique; lâinfrastructure C2 sâappuie sur le domaine google-prism[.]com, routĂ© via Cloudflare. Le flux web en 4 Ă©tapes demande lâ« installation » du PWA (masquant la barre dâadresse), lâautorisation de notifications push, la sĂ©lection et lâenvoi de contacts via le Contact Picker API, puis lâaccĂšs Ă la position GPS (latitude, longitude, altitude, cap, vitesse). Une fois installĂ©, le script de page lit le presse-papiers lors des Ă©vĂ©nements de focus/visibilitĂ©, tente dâintercepter les SMS via WebOTP, dresse une empreinte dĂ©taillĂ©e du device et effectue un heartbeat toutes les 30 s.
đą DĂ©couverte de DCHSpy : un logiciel espion Android ciblant les utilisateurs iraniens
đ Les chercheurs de **Lookout** ont mis en lumiĂšre une campagne sophistiquĂ©e de logiciel espion Android, nommĂ©e **DCHSpy**, a...
đ cyberveille : https://cyberveille.ch/posts/2025-08-02-decouverte-de-dchspy-un-logiciel-espion-android-ciblant-les-utilisateurs-iraniens/
đ source : https://blog.polyswarm.io/static-kitten-observed-using-dchspy-android-malware
#Android_malware #DCHSpy #Cyberveille
đ Les chercheurs de **Lookout** ont mis en lumiĂšre une campagne sophistiquĂ©e de logiciel espion Android, nommĂ©e **DCHSpy**, a...
đ cyberveille : https://cyberveille.ch/posts/2025-08-02-decouverte-de-dchspy-un-logiciel-espion-android-ciblant-les-utilisateurs-iraniens/
đ source : https://blog.polyswarm.io/static-kitten-observed-using-dchspy-android-malware
#Android_malware #DCHSpy #Cyberveille
DĂ©couverte de DCHSpy : un logiciel espion Android ciblant les utilisateurs iraniens
Les chercheurs de Lookout ont mis en lumiĂšre une campagne sophistiquĂ©e de logiciel espion Android, nommĂ©e DCHSpy, attribuĂ©e au groupe de menaces iranien Static Kitten. Cette campagne cible spĂ©cifiquement les utilisateurs mobiles iraniens en exploitant des applications VPN et Starlink trompeuses, distribuĂ©es via des campagnes de phishing. DCHSpy est actif depuis octobre 2023, en plein conflit rĂ©gional, et est conçu pour exfiltrer des donnĂ©es sensibles telles que les messages WhatsApp, les donnĂ©es de localisation, les photos et les journaux dâappels. Le malware exploite des tactiques dâingĂ©nierie sociale et tire parti de la demande dâaccĂšs Internet non censurĂ© en Iran.
đą Le malware Android Konfety rĂ©apparaĂźt avec des techniques d'Ă©vasion avancĂ©es
đ L'article publiĂ© par PolySwarm met en lumiĂšre la rĂ©apparition du **malware Android Konfety**, connu pour ses **capacitĂ©s d'Ă©vasion sophistiquĂ©es** telles qu...
đ cyberveille : https://cyberveille.ch/posts/2025-07-28-le-malware-android-konfety-reapparait-avec-des-techniques-d-evasion-avancees/
đ source : https://blog.polyswarm.io/konfety-android-malware
#Android_malware #DEX_injection #Cyberveille
đ L'article publiĂ© par PolySwarm met en lumiĂšre la rĂ©apparition du **malware Android Konfety**, connu pour ses **capacitĂ©s d'Ă©vasion sophistiquĂ©es** telles qu...
đ cyberveille : https://cyberveille.ch/posts/2025-07-28-le-malware-android-konfety-reapparait-avec-des-techniques-d-evasion-avancees/
đ source : https://blog.polyswarm.io/konfety-android-malware
#Android_malware #DEX_injection #Cyberveille
Le malware Android Konfety réapparaßt avec des techniques d'évasion avancées
Lâarticle publiĂ© par PolySwarm met en lumiĂšre la rĂ©apparition du malware Android Konfety, connu pour ses capacitĂ©s dâĂ©vasion sophistiquĂ©es telles que le chargement dynamique de code et lâobfuscation multi-couches. Ce malware est principalement utilisĂ© pour des fraudes publicitaires tout en Ă©vitant la dĂ©tection par les systĂšmes de sĂ©curitĂ©. Konfety utilise des techniques dâinjection Ă lâexĂ©cution oĂč le fichier DEX principal gĂšre lâinstallation initiale avant de dĂ©lĂ©guer les opĂ©rations Ă un fichier DEX secondaire cachĂ©, dĂ©chiffrĂ© Ă partir dâactifs APK cryptĂ©s. Les incohĂ©rences dans le fichier AndroidManifest.xml servent dâindicateurs de dĂ©tection, avec des composants non dĂ©clarĂ©s.
đą Nouvelles variantes du malware DCHSpy utilisĂ©es par MuddyWater
đ Lookout a dĂ©couvert de nouvelles variantes du **malware de surveillance Android DCHSpy** dĂ©ployĂ© par le groupe APT iranien **MuddyWater...
đ cyberveille : https://cyberveille.ch/posts/2025-07-21-nouvelles-variantes-du-malware-dchspy-utilisees-par-muddywater/
đ source : https://security.lookout.com/threat-intelligence/article/lookout-discovers-iranian-dchsy-surveillanceware
#Android_malware #DCHSpy #Cyberveille
đ Lookout a dĂ©couvert de nouvelles variantes du **malware de surveillance Android DCHSpy** dĂ©ployĂ© par le groupe APT iranien **MuddyWater...
đ cyberveille : https://cyberveille.ch/posts/2025-07-21-nouvelles-variantes-du-malware-dchspy-utilisees-par-muddywater/
đ source : https://security.lookout.com/threat-intelligence/article/lookout-discovers-iranian-dchsy-surveillanceware
#Android_malware #DCHSpy #Cyberveille
Nouvelles variantes du malware DCHSpy utilisées par MuddyWater
Lookout a dĂ©couvert de nouvelles variantes du malware de surveillance Android DCHSpy dĂ©ployĂ© par le groupe APT iranien MuddyWater dans le cadre du conflit IsraĂ«l-Iran. Ce malware cible les appareils mobiles Ă travers des applications VPN malveillantes distribuĂ©es via Telegram, utilisant potentiellement des leurres thĂ©matiques liĂ©s Ă StarLink. DCHSpy collecte des donnĂ©es personnelles Ă©tendues, notamment des messages WhatsApp, des contacts, des SMS, des donnĂ©es de localisation, et peut enregistrer de lâaudio et capturer des photos. Le groupe de menaces continue de dĂ©velopper ce logiciel de surveillance avec des capacitĂ©s amĂ©liorĂ©es pour lâidentification de fichiers et lâexfiltration de donnĂ©es, reprĂ©sentant des activitĂ©s dâespionnage mobile parrainĂ©es par lâĂtat iranien.
Mandrake Spyware Infects 32,000 Devices Via Google Play Apps - https://www.redpacketsecurity.com/mandrake-spyware-infects-32-000-devices-via-google-play-apps/
#threatintel #android_malware #cyber_espionage #malware_detection
Arid Viper Hackers Spy in Egypt and Palestine Using Android Spyware - https://www.redpacketsecurity.com/arid-viper-hackers-spy-in-egypt-and-palestine-using-android-spyware/
#threatintel #cyber_espionage #android_malware #trojanized_apps
TeaBot Banking Trojan Activity on the Rise, Zscaler Observes - https://www.redpacketsecurity.com/teabot-banking-trojan-activity-on-the-rise-zscaler-observes/
FjordPhantom Android Malware Targets Banks With Virtualization - https://www.redpacketsecurity.com/fjordphantom-android-malware-targets-banks-with-virtualization/
#threatintel #Android_malware #FjordPhantom #Banking_security
