Malware Android : Une Campagne Massive de Fraude aux Abonnements Premium Déjouée

Célestine Rochefour

En mars 2025, les chercheurs de zLabs ont découvert une campagne de malware Android d’une ampleur sans précédent. Près de 250 applications malveillantes ont été diffusées massivement, ciblant des utilisateurs en Malaisie, Thaïlande, Roumanie et Croatie. Cette opération sophistiquée démontre une évolution inquiétante des techniques de fraude mobile, où les attaquants n’hésitent plus à exploiter les API légitimes de Google pour orchestrer des souscriptions frauduleuses. Comment cette campagne fonctionne-t-elle, et surtout, comment vous protéger contre cette nouvelle génération de malware Android ?

Une fraude carrier billing orchestrée à l’échelle industrielle

La technique de carrier billing fraud constitue le cœur de cette campagne malveillante. Contrairement aux attaques的传统elles qui volent des données bancaires, ce malware exploite les mécanismes de facturation opérateur pour facturer directement le compte mobile des victimes. En France, cette méthode représente une menace croissante selon l’ANSSI, qui observe une augmentation des signalements liés aux fraudes sur services à surtaxe.

Le fonctionnement repose sur l’abus des services SMS premium, ces numéros courts permettant de s’abonner à divers services (jeux, sonneries, contenus adultes). Chaque abonnement génère des revenus immédiats pour les attaquants, prélevés directement sur la facture téléphonique mensuelle de la victime. La subtilité de cette technique réside dans sa capacité à rester indétectable : les victime ne remarquent souvent l’arnaque que plusieurs semaines ou mois plus tard, lors de la réception de leur relevé bancaire.

La campagne identifiée par zLabs se distingue par son ciblage géographique sélectif. Le malware contient une liste codée d’opérateurs mobiles autorisés. Si la SIM de la victime correspond à l’un de ces opérateurs prédéfinis, l’attaque se déclenche automatiquement. Dans le cas contraire, l’application affiche un contenu parfaitement légitime, permettant au malware de rester silencieux sur l’appareil infecté. Cette technique de camouflage réduit considérablement les risques de détection et prolonge la durée de vie de l’opération frauduleuse.

« La sophistication de cette campagne démontre une évolution préoccupante : les attaquants n’ont plus besoin de voler vos coordonnées bancaires. Ils utilisent simplement votre téléphone comme moyen de paiement à votre insu. » - Rapport zLabs, mai 2026.

Les canaux de distribution : applications piratées et réseaux sociaux

Pour maximiser le nombre d’infections, les auteurs de la campagne ont recurru à une stratégie de usurpation d’identité particulièrement efficace. Les chercheurs ont identifié des applications imitant parfaitement des plateformes populaires : Facebook, Instagram, TikTok, Minecraft et Grand Theft Auto. Ces faux applications étaient distribuées via plusieurs canaux, exploitant la confiance des utilisateurs envers des marques connues.

La distribution s’effectuait principalement par le biais de :

  • Réseaux sociaux : campagnes promotionnelles frauduleuses sur TikTok et Facebook vantant des versions premium gratuites
  • Sites de téléchargement alternatifs : plateformes proposant des APK modifiés hors Google Play Store
  • Messagerie instantanée : liens de téléchargement partagés via Telegram et WhatsApp

Cette approche multimodale permet aux attaquants de toucher des audiences variées tout en évitant la détection par les mécanismes de sécurité du Google Play Store. En France, la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DGCCRF) rappelle régulièrement l’importance de télécharger uniquement depuis des sources officielles.

Analyse technique : trois variantes d’une complexité croissante

Les chercheurs de zLabs ont identifié trois variantes distinctes au sein de cette campagne, chacune intégrant des fonctionnalités offensives supplémentaires. Cette évolution graduelle témoigne d’un développement professionnel et d’une adaptation continue aux mesures de sécurité.

Variante 1 : le moteur de souscription automatisé

La première version du malware fonctionne comme un moteur de souscription entièrement automatisé. Une fois le téléphone infecté, l’application procède à une série d’opérations silencieuses :

  1. Vérification de l’opérateur : identification de la SIM et comparaison avec la liste des opérateurs ciblés
  2. Chargement des pages de facturation : injection de pages web masquées reproduisant les interfaces légitimes de facturation opérateur
  3. Automatisation JavaScript : exécution de scripts permettant de cliquer automatiquement sur les boutons de confirmation
  4. Interception OTP : récupération des codes de vérification par SMS envoyés par l’opérateur
  5. Validation finale : confirmation de l’abonnement premium sans intervention de l’utilisateur

Pour masquer ces opérations, le malware affiche parfois de fausses invites de vérification évoquant des messages de validation de jeu vidéo. La victime croit confirmer une étape légitime (installation d’un mod ou vérification de sécurité) alors qu’elle accepte en réalité un abonnement payable plusieurs euros par semaine.

Variante 2 : l’attaque multi-étapes ciblant la Thaïlande

La deuxième variante introduit une sophistication supplémentaire en déployant une attaque multi-étapes particulièrement adaptée au marché thaïlandais. Cette version envoie des messages SMS premium à intervalles aléatoires, une technique visant à éviter la détection par les systèmes de surveillance des opérateurs.

Parallèlement, cette variante exploite le CookieManager Android pour voler les cookies de session des victimes. En récupérant ces données d’authentification, les attaquants peuvent maintenir des sessions authentifiées sur les portails opérateurs, augmentant significativement le taux de réussite des souscriptions frauduleuses. Cette technique rappelle les risques documentés par l’ENISA concernant le vol de sessions web via des applications malveillantes.

Variante 3 : surveillance en temps réel via Telegram

La troisième itération représente le niveau de sophistication le plus élevé. Elle intègre un système de surveillance en temps réel exploitant l’infrastructure Telegram comme canal de communication avec les serveurs de commande.

Chaque événement sur l’appareil infecté est immédiatement rapporté :

  • Infections nouvelles
  • Octrois de permissions
  • Transactions SMS
  • Métadonnées de l’appareil
  • Détails de l’opérateur
  • Horodatages précis

Cette remontée d’information permet aux attaquants d’ajuster dynamiquement leur stratégie, d’identifier les vecteurs d’infection les plus efficaces et de réagir rapidement en cas de blocage. L’utilisation de Telegram, plateforme généralement considérée comme légitime, complique également le blocage traffic réseau par les solutions de sécurité corporativo.

Infrastructure technique et indicateurs de compromission

L’infrastructure de commande et contrôle (C2)支撑 cette campagne repose sur plusieurs domaines identifiés par les chercheurs. Les domaines suivants ont été documentés :

DomaineFonction principale
apizep.mwmze[.]comAutomatisation des souscriptions
modobomz[.]comSuivi des victimes
api.modobomco[.]comExfiltration des données

Ces serveurs coordonnent l’ensemble des opérations frauduleuses : automation des workflows de souscription, suivi des victimes infectées, et exfiltration des données de l’appareil. Les attaquants utilisent également des URL de redirection intermédiaires permettant de journaliser chaque tentative de souscription avant de rediriger l’utilisateur vers les portails légitimes des opérateurs.

La campagne cible spécifiquement 12 codes courts SMS premium répartis entre plusieurs opérateurs et pays. Chaque code short correspond à un service spécifique avec des mots-clés précis déclenchant la facturation. En France, les opérateurs sont tenues de proposer des mécanismes de désabonnement simplifiés depuis la mise en application du règlement européen sur les services de paiement (DSP2), mais ces protections restent insuffisantes face à des attaques aussi sophistiquées.

Exploitation de l’API SMS Retriever de Google

L’un des aspects les plus préoccupants de cette campagne réside dans l’exploitation abusive de l’API SMS Retriever de Google. Cette fonctionnalité, conçue légitimement pour améliorer l’expérience utilisateur en permettant la lecture automatique des codes OTP, devient un outil d’interception dans le contexte de cette fraude.

Le malware procède de la manière suivante :

  1. Demande à l’utilisateur la permission d’accéder à la fonction de récupération SMS (requise pour le fonctionnement de l’application)
  2. Une fois le consentement obtenu, surveille tous les SMS entrants
  3. Intercepte les codes OTP envoyés par l’opérateur pour confirmer l’abonnement
  4. Remplit automatiquement le champ de confirmation avec le code intercepté

Cette exploitation ingénieuse transforme une mesure de sécurité en vecteur d’attaque, illustrant parfaitement le concept de living off the land (exploitation des outils légitimes) cher aux attaquants modernes.

Désactivation forcée du WiFi

Une technique particulièrement innovante observée dans cette campagne : la désactivation forcée du WiFi lors des transactions de facturation. Les attaquants ont identifié que de nombreux opérateurs limitent ou bloquent les transactions carrier billing lorsque l’utilisateur est connecté en WiFi, probablement pour des raisons de sécurité.

En détectant une connexion WiFi active, le malware bascule automatiquement le téléphone en mode données mobiles avant d’initier la transaction frauduleuse. Cette manipulation assure que la facturation transite bien par le réseau cellulaire, maximisant les chances de succès de l’opération.

Analyse de la cible : opérateurs et géographique

Les données recueillies par zLabs révèlent une distribution géographique précis. La campagne a été particulièrement active dans quatre pays : la Malaisie, la Thaïlande, la Roumanie et la Croatie. Cette sélection suggère une stratégie de ciblage basée sur la combinaison de plusieurs facteurs :

  • Prévalence du carrier billing : ces marchés présentent des taux d’utilisation élevés pour ce mode de paiement mobile
  • Réglementation permissive : moins de protections réglementaires qu’en Europe de l’Ouest
  • Opérateurs ciblés : список précis de noms d’opérateurs intégrés au malware
  • Potentiel de revenus : estimation du coût par abonnement et du volume potentiel de victimes

Le système de suivi des référents intégré à la campagne mérite une attention particulière. Chaque infection inclut un identifiant structuré spécifiant : le nom de la fausse application, le pays cible, la plateforme (Android), et l’opérateur spécifique. Cette architecture analytique permet aux attaquants d’évaluer en temps réel l’efficacité de chaque canal de distribution.

Par exemple, une infection peut être taguée « GTA_Malaysia_Android_Celcom » permettant aux fraudeurs d’identifier immédiatement que le mod GTA distribué en Malaisie via l’opérateur Celcom génère des conversions. Cette optimisation continue explique la longévité et l’efficacité de l’opération.

Mesures de détection et de protection

Face à cette menace sophistiquée, les solutions de sécurité traditionnelles basées sur les signatures se révèlent insuffisantes. Le malware utilise des techniques polymorphes et des infrastructures reconfigurables qui échappent aux détections statiques.

Solutions de défense comportementale

Les chercheurs de Zimperium recommandent le déploiement de solutions Mobile Threat Defense (MTD) capable d’analyser les comportements приложения en temps réel. Leur solution zDefend détecte et bloque l’ensemble des échantillons identifiés grâce à :

  • Analyse comportementale sur l’appareil : identification des patterns suspects sans nécessiter de connexion cloud
  • Détection des modifications système : surveillance des tentatives de désactivation WiFi ou d’accès aux permissions sensibles
  • Blocage des activités SMS non autorisées : interception des tentatives d’envoi de SMS premium
  • Protection contre l’exfiltration Telegram : identification du traffic vers les canaux de commande suspects

Cette approche comportementale permet de détecter même les variantes jamais observées auparavant, contrairement aux outils basés uniquement sur les signatures hashées.

Recommandations pour les utilisateurs

Pour les particuliers, plusieurs mesures de prudence s’imposent :

  1. Téléchargement exclusif depuis le Google Play Store et vérification de l’éditeur avant toute installation
  2. Examen minutieux des permissions demandées par les applications, particulièrement l’accès aux SMS et au WiFi
  3. Surveillance régulière des factures mobiles pour identifier tout montant suspect ou abonnement non reconnu
  4. Activation des alertes运营商 proposées par votre opérateur pour être notifié des souscriptions
  5. Installation rapide des mises à jour Android corrigeant les vulnérabilités exploitées

En cas de doute sur un abonnement frauduleux, la procédure de contestation auprès de votre opérateur varie selon les réglementations locales. En France, le Code de la consommation (articles L224-27 et suivants) offre des protections contre les pratiques commerciales trompeuses.

Mesures pour les organisations

Pour les entreprises, la menaceextends au-delà des appareils personnels. Les policies BYOD (Bring Your Own Device) exposent les réseaux corporativos à ces风险的 malware. Les responsables de la sécurité doivent :

  • Déployer une solution MTD sur l’ensemble des terminaux mobiles de l’entreprise
  • Implementer des politiques de filtrage réseau détectant le traffic Telegram suspect
  • Sensibiliser les employés aux risques des applications non vérifiées
  • Établir une procédure de réponse à incident pour les infections constatées
  • Considérer le MDM (Mobile Device Management) pour les appareils gérant des données sensibles

Conclusion : la vigilance comme rempart

Cette campagne de malware Android démontre une évolution significative dans les techniques de fraude mobile. L’exploitation d’API légitimes, le ciblage géographique précis et l’automatisation complète du processus de souscription créent une menace particulièrement difficile à détecter pour l’utilisateur lambda.

Les 250 applications malveillantes identifiées, combinées aux trois variantes sophistiquées documentées par zLabs, révèlent une infrastructure criminelle mature et bien financée. L’utilisation de Telegram pour la surveillance en temps réel et l’optimisation continue des campagnes via le tracking des référents témoignent d’une approche professionnelle du cybercrime.

Face à ces risques, la protection repose sur une combinación de vigilance individuelle et de solutions de sécurité adaptées. La mise à jour régulière des terminaux, le téléchargement exclusif depuis des sources officielles et la surveillance attentive de ses factures mobiles constituent les premières lignes de défense. Pour les organisations, le déploiement de solutions MTD avec analyse comportementale représente un investissement indispensable face à la sophistication croissante de ces campagnes.

La fraude au carrier billing n’est pas près de disparaître : elle évoluera certainement vers de nouveaux marchés et de nouvelles techniques. Rester informé des menaces émergentes et maintenir une posture de sécurité proactive reste la meilleure stratégie face à cette guerre silencieuse menée depuis vos appareils mobiles.