Les applications financières sont le terrain privilégié de la fraude

Dans le 2026 Banking Heist Report, Zimperium dévoile que les applications bancaires mobiles sont devenues le terrain privilégié de la fraude financière et les attaquants s’en donnent à cœur joie pour commettre des fraudes.

1 243 applications financières ciblées dans 90 pays

Les transactions financières orchestrées par des malwares Android ont augmenté de 67 % en un an. Désormais, les campagnes sophistiquées à grande échelle pouvent contourner les mécanismes de sécurité applicatifs et exploiter les institutions financières et leurs clients. « Les malwares bancaires mobiles ont considérablement évolué. Ils ne se contentent plus de voler des identifiants mais peuvent désormais prendre le contrôle total de l’appareil d’un client » explique Krishna Vishnubhotla, Vice President Product Strategy de Zimperium.

 L’IA accélère les processus en ce sens, et les malwares actuels ont une grande capacité d’action une fois installés sur l’appareil.

« Les chevaux de Troie bancaires modernes interceptent les codes d’authentification et les appels téléphoniques, restent indétectables, échappent aux outils de sécurité et peuvent usurper une session bancaire légitime pour commettre des fraudes. Le client n’en a pas conscience et les dispositifs antifraude bancaires traditionnels ne détectent rien d’anormal. Lorsque la fraude est identifiée, il est déjà trop tard ».

Top 3 des menaces

• Les États-Unis sont une cible prioritaire

Le pays concentre le plus grand nombre d’applications ciblées au monde, avec 162 applications bancaires activement visées, contre 109 en 2023.

• TsarBot, CopyBara et Hook dominent

Ces trois familles de malwares représentent plus de 60 % des applications bancaires et fintech analysées à l’échelle mondiale.

• La fraude évolue vers l’extorsion

Près de la moitié des familles de malwares intègrent des capacités d’extorsion financière, notamment des fonctions de ransomware, permettant de chiffrer les données sur les appareils.

La fraude commence directement sur les terminaux mobiles. Les institutions financières n’ont plus le choix : elles doivent étendre la sécurité jusqu’à l’application mobile, la renforcer contre la rétro-ingénierie, protéger l’intégrité d’exécution et identifier les risques liés aux terminaux.