Netcrook Logo
👤 TRUSTBREAKER
🗓️ 28 Apr 2026  

« Voleurs invisibles » : une application truffée de chevaux de Troie échappe à Google Play et infecte plus de 10 000 téléphones

Une fausse application de lecteur de documents sur Google Play a livré le dangereux cheval de Troie bancaire Anatsa à des milliers d’utilisateurs avant d’être supprimée.

Elle ressemblait à un simple outil de productivité. Mais derrière son icône banale et ses promesses de gestion de documents, un plan sinistre se déroulait sur les téléphones de plus de 10 000 utilisateurs sans méfiance. Une application de lecteur de documents apparemment innocente, disponible sur la boutique officielle Google Play, est devenue le dernier vecteur de diffusion du tristement célèbre cheval de Troie bancaire Anatsa - révélant une réalité inquiétante sur les risques persistants qui se cachent même dans les places de marché d’applications les plus fiables.

L’incident, découvert par les chercheurs de ThreatLabz, a commencé avec la publication d’une fausse application de lecteur de documents sur Google Play. En apparence, l’application semblait légitime, avec une description axée sur l’utilité et une interface utilisateur soignée. Mais sous cette façade, elle abritait un code conçu non pas pour aider, mais pour voler.

Contrairement aux malwares traditionnels qui révèlent immédiatement leur vraie nature, cette application agissait comme un « dropper » - un type de logiciel qui retarde l’activité malveillante. Après installation, elle contactait un serveur distant et téléchargeait discrètement le véritable cheval de Troie Anatsa, déguisé sous le nom de fichier anodin « privacy.txt ». Cette stratégie permettait à l’application de contourner les défenses automatisées de Google, qui scannent souvent les applications téléchargées à la recherche de malwares évidents avant leur mise à disposition du public.

Une fois activé, Anatsa s’octroyait de larges privilèges système en exploitant les services d’accessibilité d’Android, lui donnant le pouvoir d’observer les interactions de l’utilisateur et même de manipuler le contenu de l’écran. Sa cible principale : les données financières des utilisateurs. En superposant de faux écrans de connexion sur les applications bancaires légitimes, en enregistrant les frappes, en capturant l’écran et en interceptant les SMS - including les mots de passe à usage unique - Anatsa permettait aux attaquants de siphonner des identifiants sensibles et, dans certains cas, d’initier des transactions frauduleuses à distance.

La communication avec les attaquants était orchestrée via plusieurs serveurs de commande et de contrôle (C2), permettant aux opérateurs du malware d’émettre des instructions, de mettre à jour les charges malveillantes et d’exfiltrer les données volées. Malgré les efforts de Google pour éliminer les applications malveillantes, cette campagne démontre comment les cybercriminels utilisent désormais couramment la livraison différée de charges malveillantes et l’ingénierie sociale pour contourner les filets de sécurité et cibler les utilisateurs ordinaires.

Cette brèche souligne la nécessité de rester vigilant : il est conseillé aux utilisateurs de vérifier attentivement les autorisations des applications (en particulier les demandes d’accès aux services d’accessibilité), d’éviter les applications avec peu d’avis ou d’origine douteuse, et d’envisager l’utilisation d’outils de sécurité mobile réputés. À mesure que les attaquants affinent leurs méthodes, la frontière entre applications sûres et dangereuses sur les plateformes officielles devient de plus en plus mince - rendant la vigilance et la prudence plus cruciales que jamais.

Si Google Play reste une source essentielle pour les logiciels Android, cet épisode rappelle crûment que même les téléchargements les plus sûrs en apparence peuvent receler des dangers cachés. Dans un monde où les cybercriminels se fondent dans les places de marché numériques, la meilleure défense reste peut-être un public informé et sceptique - conscient qu’un lecteur de documents n’est pas toujours ce qu’il prétend être.

WIKICROOK

  • Cheval de Troie bancaire : Un cheval de Troie bancaire est un malware qui cible les données financières en volant des identifiants bancaires et des informations personnelles, souvent en imitant des applications de confiance.
  • Dropper : Un dropper est un type de malware qui installe secrètement d’autres programmes malveillants sur un appareil infecté, aidant les attaquants à contourner les mesures de sécurité.
  • Services d’accessibilité : Les services d’accessibilité sont des fonctionnalités Android destinées à aider les personnes en situation de handicap, mais peuvent être détournés par des malwares pour contrôler les appareils ou voler des données.
  • Commande : Une commande est une instruction envoyée à un appareil ou à un logiciel, souvent par un serveur C2, pour lui faire exécuter des actions spécifiques, parfois à des fins malveillantes.
  • Attaque par superposition : Une attaque par superposition utilise de faux écrans placés au-dessus d’applications réelles pour inciter les utilisateurs à saisir des données sensibles comme des mots de passe ou des codes PIN, permettant ainsi le vol d’identifiants.
Trojan Google Play Malware
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news