Publié le 28 mai 2026 à 00h00 par La rédaction

Android : près de 250 fausses applications piégeaient les utilisateurs pour les abonner à des services payants à leur insu

Le spécialiste de la cybersécurité mobile Zimperium tire la sonnette d’alarme après la découverte d’une campagne mondiale de fraude visant les smartphones Android. Selon les chercheurs de son équipe zLabs, les cybercriminels derrière cette opération ont déployé près de 250 applications malveillantes se faisant passer pour des services et jeux très populaires afin d’abonner discrètement les victimes à des services premium facturés directement par les opérateurs mobiles.

Détectée entre mars 2025 et janvier 2026, cette campagne a principalement ciblé des utilisateurs situés en Malaisie, en Thaïlande, en Roumanie et en Croatie. Les attaquants adaptaient leurs méthodes en fonction des opérateurs télécoms locaux, signe d’une organisation particulièrement structurée et d’une connaissance approfondie des systèmes de facturation mobile utilisés dans chaque pays.

Des applications populaires imitées pour tromper les victimes

Pour maximiser leurs chances d’infection, les cybercriminels ont choisi une stratégie bien connue mais redoutablement efficace : usurper l’identité d’applications et de licences mondialement reconnues. Parmi les faux services identifiés figuraient notamment Facebook, Instagram, TikTok, ainsi que des jeux extrêmement populaires comme Minecraft ou Grand Theft Auto V.

Derrière une apparence parfois convaincante, ces applications avaient un objectif précis : exploiter les mécanismes de “carrier billing”, c’est-à-dire la facturation directe via l’opérateur mobile. Ce système, largement utilisé pour les abonnements numériques et les micropaiements, permet normalement de régler un service sans carte bancaire, la somme étant directement ajoutée à la facture téléphonique.

Dans ce cas précis, les victimes étaient inscrites à des services premium sans leur consentement explicite, générant des revenus frauduleux pour les attaquants tout en rendant les prélèvements parfois difficiles à identifier pour les utilisateurs.

Une campagne particulièrement sophistiquée

Selon Zimperium, cette opération se distingue par son niveau avancé d’automatisation et par les nombreuses techniques employées pour contourner les protections traditionnelles d’Android.

Les chercheurs évoquent notamment des mécanismes de validation automatique des cartes SIM afin de vérifier la compatibilité des victimes avec certains opérateurs ciblés. Les applications malveillantes utilisaient également des manipulations de WebView, le composant Android permettant d’afficher du contenu web dans une application afin d’interagir discrètement avec des pages d’abonnement.

Les cybercriminels ont aussi eu recours à l’injection de code JavaScript pour automatiser certaines actions à l’intérieur des interfaces web et accélérer les processus de souscription frauduleuse. Plus inquiétant encore, la campagne exploitait l’API SMS Retriever de Google afin d’intercepter les codes OTP envoyés par SMS. Ces codes de validation à usage unique, généralement utilisés comme mesure de sécurité supplémentaire, étaient récupérés automatiquement sans intervention visible de l’utilisateur.

Autre élément révélateur du degré de sophistication de l’opération : l’exfiltration des données en temps réel via Telegram. Les informations collectées étaient immédiatement transmises aux opérateurs de la campagne, permettant un pilotage quasi instantané des attaques et un suivi précis des victimes infectées.

Une évolution des menaces mobiles

Au-delà du volume d’applications identifiées, cette découverte illustre surtout une mutation profonde de la cybercriminalité mobile. Longtemps centrées sur le vol de données personnelles ou l’espionnage des appareils, certaines campagnes cherchent désormais à exploiter directement les infrastructures de paiement des opérateurs télécoms.

Cette approche présente plusieurs avantages pour les attaquants. D’une part, elle permet de générer rapidement des revenus à grande échelle grâce aux abonnements premium. D’autre part, elle évite parfois les systèmes de détection traditionnels liés aux paiements bancaires ou aux fraudes par carte de crédit.

Les experts observent également une professionnalisation croissante de ces groupes criminels, capables de personnaliser leurs attaques selon les pays, les opérateurs et même les méthodes d’authentification utilisées localement.

Cette affaire rappelle également l’importance pour les utilisateurs Android de limiter l’installation d’applications provenant de sources non officielles, de surveiller régulièrement leurs factures mobiles et d’accorder une attention particulière aux autorisations demandées par les applications, notamment l’accès aux SMS ou aux fonctions système sensibles.

~~~~~~~~

Guides & Comparatifs France Mobiles