Google a récemment publié son rapport Fraudes et Arnaques de juin 2026. Celui-ci met en lumière de nombreuses attaques visant les terminaux mobiles, devenus un vecteur de prédilection des attaquants. Entre techniques conçues pour déjouer les contrôles et campagnes industrialisées par l'IA, les menaces mobiles ne cessent d'évoluer.
Le rapport insiste sur la progression de l'extorsion mobile via de fausses applications bancaires et financières. Déguisées en outils de finance personnelle, elles réclament des permissions sans rapport avec leur fonction affichée : accès aux contacts, à l'historique des SMS ou aux photos. Les applications de ce type ont déjà cumulé plus de huit millions de téléchargements.
Ce type de menace n'est pas nouveau. Ce qui évolue, c'est la façon dont ces applications parviennent jusqu'aux utilisateurs. Face au durcissement des contrôles de Google Play, les attaquants recourent de plus en plus au versioning. Ils soumettent d'abord une application d'apparence légitime, qui passe la revue de l'app store, puis diffusent une mise à jour contenant le code malveillant une fois l'application installée. Celui-ci exploite alors les services d'accessibilité du terminal. Pour contrer ces tactiques, les équipes de Google indiquent prioriser la détection des permissions dites dormantes.
Le rapport Google décrit aussi un phishing en pleine mutation, qui multiplie les techniques pour contourner les protections traditionnelles. Parmi celles mentionnées, le quishing, ou hameçonnage par QR code, vise directement le mobile. Un QR code piégé se scanne avec un téléphone et ouvre aussitôt un lien frauduleux sur l'appareil, sans que l'utilisateur puisse en vérifier la destination et en dehors du périmètre des filtres de messagerie. Ces QR codes s'appuient eux-mêmes sur des techniques d'évasion comme la superposition ou la fragmentation pour déjouer les outils d'analyse.
Au-delà des nouvelles techniques, ces campagnes se sont surtout industrialisées. Elles se vendent désormais clés en main, sous forme de phishing-as-a-service, et l'IA générative en démultiplie la portée.
Google a d'ailleurs déposé une plainte le mois dernier contre l'un de ces réseaux, baptisé Outsider Enterprise. Pour un abonnement à partir de 88 dollars par semaine, le kit donnait accès à plus de 290 modèles de faux sites et a servi à envoyer 2,5 millions de SMS frauduleux vers des terminaux Android sur deux semaines de mai. Pour générer ces faux sites en série, les opérateurs détournaient Gemini, l'IA générative de Google. C'est précisément ce détournement qui a motivé cette première action en justice visant l'usage malveillant de sa propre IA. L'affaire illustre l'ampleur qu'atteint désormais le phishing mobile, où l'automatisation abaisse le niveau de compétence requis pour mener des campagnes à grande échelle.
Le mobile est aujourd'hui un vecteur d'attaque privilégié, mais encore trop peu sécurisé. La solution Pradeo Mobile Threat Defense protège les flottes mobiles d'entreprise en détectant automatiquement les menaces sur l'ensemble des vecteurs (applications, réseau et système) :