Publié le 27 avril 2026 à 00h00 par La rédaction

Android sous pression : quatre campagnes de chevaux de Troie bancaires visent plus de 800 applications

Une nouvelle alerte vient rappeler à quel point l’écosystème Android reste une cible de choix pour les cybercriminels. Dans une étude détaillée, les chercheurs de zLabs, la branche dédiée à la recherche en cybersécurité de Zimperium, mettent en lumière quatre campagnes actives de chevaux de Troie bancaires particulièrement sophistiquées. Baptisées RecruitRat, SaferRat, Astrinox et Massiv, elles ciblent collectivement plus de 800 applications, allant des services bancaires aux plateformes de cryptomonnaies, en passant par les réseaux sociaux.

Une mutation des malwares mobiles

L’analyse révèle une évolution nette dans la nature des menaces. Là où les chevaux de Troie bancaires se limitaient autrefois au vol d’identifiants, ces nouvelles campagnes franchissent un cap. Elles combinent désormais plusieurs techniques avancées : infrastructures de phishing élaborées, interfaces frauduleuses superposées aux applications légitimes (overlays), exploitation des services d’accessibilité d’Android, capture d’écran ou encore contournement des outils d’analyse.

Cette sophistication permet aux attaquants de tromper à la fois les utilisateurs et les solutions de sécurité traditionnelles. Les malwares sont capables d’imiter parfaitement l’apparence d’applications fiables, rendant la fraude difficile à détecter, même pour des utilisateurs avertis.

Des attaques structurées et persistantes

Selon les chercheurs, ces campagnes reposent sur des infrastructures de commande et de contrôle robustes, associées à des chaînes d’infection en plusieurs étapes. Une fois installés sur un appareil, les malwares s’y ancrent durablement et opèrent de manière discrète.

Parmi leurs capacités figurent l’interception des mots de passe à usage unique (OTP) envoyés par SMS, la collecte d’identifiants sensibles, l’exfiltration de données en temps réel et même la reconnaissance des applications installées sur l’appareil. Cette dernière fonctionnalité permet d’adapter les attaques en fonction des cibles présentes, notamment les applications bancaires ou liées aux cryptomonnaies.

Des techniques d’évasion redoutables

L’étude souligne également l’inefficacité croissante des solutions de sécurité basées sur des signatures face à ces menaces. Les cybercriminels recourent à des méthodes avancées comme la manipulation d’APK, l’utilisation de charges utiles chiffrées, le chargement dynamique de code ou encore des mécanismes d’exécution adaptés à l’environnement ciblé.

Ces techniques rendent les malwares extrêmement furtifs, avec des taux de détection parfois proches de zéro dans les systèmes traditionnels.

Des vecteurs de diffusion multiples

Les campagnes identifiées ne reposent pas sur un seul canal d’attaque. Elles exploitent une diversité de vecteurs pour piéger les utilisateurs : sites de phishing, fausses offres d’emploi, services de streaming frauduleux ou encore campagnes de smishing (phishing par SMS).

Dans de nombreux cas, les applications malveillantes se présentent comme des mises à jour système ou des services légitimes. Une fois installées, elles déclenchent leurs mécanismes d’attaque en arrière-plan, sans éveiller les soupçons.

L’exploitation des fonctions légitimes d’Android

L’un des éléments les plus préoccupants réside dans l’utilisation détournée de fonctionnalités natives du système Android. Les services d’accessibilité, conçus pour améliorer l’expérience utilisateur, sont ainsi exploités pour surveiller les interactions, intercepter les données saisies ou injecter des interfaces frauduleuses.

De même, des API légitimes comme MediaProjection (partage d’écran) ou les mécanismes d’installation de sessions sont utilisées pour renforcer la persistance du malware et contourner les protections.

Un risque accru pour les entreprises

Si ces attaques touchent directement les particuliers, leurs implications dépassent largement le cadre de la fraude individuelle. Les appareils mobiles compromis utilisés dans un contexte professionnel peuvent devenir des points d’entrée vers des systèmes d’information d’entreprise.

Les attaquants peuvent alors intercepter des mécanismes d’authentification, détourner des sessions ou accéder à des ressources sensibles. Le smartphone, souvent considéré comme un outil secondaire en matière de cybersécurité, devient ainsi un maillon critique de la chaîne de défense.

Une stratégie “mobile-first” des cybercriminels

Pour Krishna Vishnubhotla, responsable de la stratégie produit chez Zimperium, cette évolution s’inscrit dans une tendance plus large : celle d’une stratégie d’attaque centrée sur le mobile. Les cybercriminels ne cherchent plus seulement à voler des identifiants, mais à prendre le contrôle complet des appareils pour contourner les protections et maximiser leurs gains.

Vers une sécurité mobile repensée

Face à cette montée en puissance, les approches traditionnelles montrent leurs limites. L’étude insiste sur la nécessité d’adopter des solutions de sécurité mobile capables d’analyser les comportements en temps réel, plutôt que de se reposer uniquement sur des signatures connues.

Les technologies de Mobile Threat Defense, intégrant des mécanismes d’intelligence artificielle directement sur les appareils, apparaissent comme une réponse adaptée. Elles permettent de détecter des signaux faibles tels que l’abus des services d’accessibilité, les tentatives de partage d’écran suspectes ou encore les installations d’applications hors des circuits officiels.

~~~~~~~~

Guides & Comparatifs France Mobiles