Les chercheurs du laboratoire zLabs de Zimperium lèvent le voile sur une campagne malveillante, intitulée « Premium Deception ». Active depuis un peu plus de dix mois, l’arnaque consiste à abonner des utilisateurs de smartphones Android à des services payants. L’abonnement est directement réglé par le biais de la facture mensuelle prélevée par l’opérateur. Sans surprise, les pirates ne demandent jamais l’accord explicite de la victime.
À lire aussi : 455 apps Android piégées – une énorme fraude a envahi le Play Store
250 applications malveillantes
Comme c’est souvent le cas, les cybercriminels s’appuient sur des applications Android malveillantes pour tromper les utilisateurs. Les pirates ont mis au point des copies d’applications populaires, comme Facebook Messenger, Instagram Threads, TikTok, Minecraft, Grand Theft Auto ou encore des jeux à la mode.
Bonne nouvelle, ces applications factices ne sont pas parvenues à se glisser sur le Play Store, la boutique officielle de Google. Les apps étaient exclusivement distribuées sous la forme de fichiers APK par le biais de TikTok, Facebook et des résultats de recherche Google. Les chercheurs ont dénombré près de 250 applications malveillantes impliquées dans la campagne.
À lire aussi : Ces 28 applis Android prétendaient espionner n’importe quel smartphone, et 7 millions d’utilisateurs ont été piégés
Des codes de validation interceptés
Une fois installées sur un smartphone, les fausses applications commençaient par vérifier que l’opérateur de la victime était compatible avec ses services. Les attaquants ont en effet intégré dans le code des apps des listes d’opérateurs téléphoniques spécifiques à chaque pays. Si votre carte SIM ne correspondait pas à l’un de ces opérateurs ciblés, l’application affichait simplement un site web anodin pour ne pas éveiller les soupçons, et éviter toute désinstallation précipitée.
« Pour garantir le succès de la fraude, le malware désactive de manière programmée la connexion Wi-Fi de l’appareil. Cela force tout le trafic à transiter par le réseau cellulaire, indispensable au bon fonctionnement de l’authentification par facturation opérateur », précise le rapport.
Les applications factices embarquaient en fait trois versions différentes d’un malware. La première mouture épinglée par Zimperium est la plus sophistiquée. Elle peut abonner un internaute à un service payant en seulement quelques clics. L’app ouvre discrètement une page web invisible pointant vers le portail de facturation officiel de l’opérateur, puis déploie du code JavaScript pour cliquer automatiquement sur le bouton « Confirmer l’abonnement » à la place de la victime.
Sans que l’utilisateur comprenne quoi que ce soit, le virus va intercepter le code de validation envoyé par l’opérateur par SMS. Avec ce code, il va valider et confirmer l’abonnement. Pour intercepter le code envoyé par SMS par l’opérateur, le malware détourne une API officielle de Google appelée SMS Retriever API. Cette fonctionnalité légitime est conçue pour lire automatiquement les codes de confirmation.
Dix mois de cyberattaques
La deuxième variante se distingue par plusieurs tactiques permettant de passer inaperçu, et un outil de communication en temps réel qui permet au malware de recevoir des instructions en temps réel. La troisième itération est quant à elle capable de fournir des comptes rendus, montrant l’évolution de la cyberattaque, aux pirates directement sur Telegram. Selon les chercheurs, la campagne a été déployée par une organisation bien ficelée, avec une structure digne d’une agence marketing légitime. Au moment de la publication du rapport, l’infrastructure criminelle était encore en ligne, mais n’est plus active. Elle touche une poignée de pays, mais pas la France.
« La campagne a été détectée pour la première fois en mars 2025 et est restée active jusqu’à la deuxième semaine de janvier 2026, représentant environ dix mois d’opérations frauduleuses continues », déclare Zimperium.
Comme toujours, on vous recommande chaudement d’éviter des applications en dehors du Play Store. Méfiez-vous surtout des fichiers APK diffusés sur les réseaux sociaux ou par le biais de publicités sur Google. Enfin, il est recommandé de consulter régulièrement sa facture mobile pour repérer d’éventuels abonnements non souhaités. Il vaut évidemment mieux déceler un problème avant d’être facturé pendant des mois.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Zimperium
