Jamf publie une nouvelle édition de son rapport annuel Security 360: Annual Trends Report, fondé sur des données anonymisées collectées sur plus de 1,4 million de Mac dans 90 pays. Sur la période couvrant les 12 mois de 2025, une tendance domine nettement : les chevaux de Troie s’imposent comme la principale catégorie de malware détectée sur macOS.
Les principaux enseignements du rapport
- 50 % des malwares touchant Mac sont des chevaux de Troie, en hausse de plus de 33 points par rapport à 2024.
- 44 % des appareils suivis ont présenté un trafic réseau malveillant.
- 41 % des appareils exécutent un système d’exploitation jugé критiquement obsolète.
- 73 % des appareils ont au moins une application vulnérable installée.
Les trojans supplantent les infostealers
D’après Jamf, les chevaux de Troie sont passés de 16,61 % des détections en 2024 à 50,32 % en 2025. La progression est attribuée notamment au fait que de plus en plus d’infostealers s’appuient sur des mécanismes de type trojan (porte dérobée, persistance) afin de survivre aux redémarrages et aux déconnexions, ce qui gonfle mécaniquement les statistiques.
Le trojan dominant est Atomic Stealer (également appelé AMOS) : il représente 77,08 % de l’activité trojan observée. Le même nom apparaît aussi en tête côté infostealers, avec 78,49 % de l’activité de cette catégorie. Jamf rappelle que si un infostealer adopte souvent des comportements proches d’un trojan pour se dissimuler, tous les trojans ne visent pas nécessairement le vol d’identifiants : certains s’installent sur la durée, maintiennent une connexion de type backdoor, exfiltrent des fichiers, téléchargent d’autres charges malveillantes ou servent d’étape préalable à un chiffrement de données (ransomware) en contexte entreprise.
Adware et PUA en net recul
Autre signal relevé par Jamf : l’adware recule fortement, passant de 28 % des détections en 2024 à 5,06 % en 2025. Les PUA (Potentially Unwanted Applications) chutent également, de 15,06 % à 4,84 %. Le rapport y voit l’illustration d’une économie du malware qui privilégie de plus en plus le vol de données plutôt que des modèles fondés sur la publicité.
Nouvelles familles repérées par Jamf Threat Labs
Le document met enfin en avant plusieurs familles identifiées au cours de l’année par Jamf Threat Labs. Vers novembre, DigitStealer a été observé comme un infostealer basé sur JXA, présenté comme non détecté sur VirusTotal au moment de sa découverte. Jamf indique qu’il s’appuie sur des techniques avancées d’anti-analyse, dont une détection matérielle limitant l’exécution aux puces Apple Silicon M2 ou plus récentes. Selon Jamf, le malware déploie quatre charges en mémoire visant des données de navigateur, des portefeuilles de cryptomonnaie et des identifiants, altère Ledger Live par fusion de composants pour réduire la détection et met en place une persistance via une backdoor dynamique.
Jamf cite aussi MacSync Stealer, décrit comme ayant évolué vers une distribution via des applications Swift signées et notarisées, afin de contourner plus efficacement les contrôles de sécurité de macOS et d’exécuter des charges sans passer par Terminal ni déclencher certains avertissements.
Le rapport complet est disponible au format PDF chez Jamf : Security 360: Annual Trends Report.
