TrickMo n’est pas inconnu des chercheurs en cybersécurité. Depuis plusieurs années, ce cheval de Troie prend d’assaut les smartphones Android pour tenter de dépouiller les utilisateurs. Apparu en 2020, le virus s’en prend surtout aux utilisateurs d’applications bancaires. Il y a près de deux ans, TrickMo est notamment réapparu sous la forme d’une quarantaine de variantes malveillantes.
Comme l’expliquait Zimperium à l’époque, les variantes étaient taillées pour superposer de faux écrans de connexion par-dessus les applications bancaires. Cette tactique, massivement répandue parmi les virus Android, permet de dérober les codes PIN, d’intercepter les SMS contenant des codes à usage unique, et peut même prendre le contrôle du téléphone à distance, y compris lorsqu’il est verrouillé.
À lire aussi : Piratés à la sortie de l’usine – des milliers de smartphones ont été infectés par un malware chinois
Une nouvelle version de TrickMo
Des mois plus tard, une nouvelle version de TrickMo a été débusquée par les chercheurs de la société néerlandaise ThreatFabric. Entre janvier et février 2026, les chercheurs ont remarqué une variante améliorée, et encore plus redoutable, baptisée TrickMo.C. Cette itération se déguise en applications populaires, comme de fausses versions de TikTok ou de lecteurs vidéo, distribuées en dehors des stores officiels. Sans se douter qu’il se trouve dans le viseur des cybercriminels, l’utilisateur installe l’application et lui accorde toutes les permissions demandées.
Fidèle à son mode opératoire, le virus va ensuite afficher de fausses pages de connexion au-dessus des applications bancaires installées sur le téléphone. Les détenteurs de portefeuilles de cryptomonnaies sont également ciblés. Dans ce cas de figure, les pirates font ce qu’ils peuvent pour s’emparer des clés privées ou des phrases de récupération.
Le malware peut aussi transformer votre smartphone en proxy réseau. En clair, les cybercriminels peuvent faire passer tout leur trafic malveillant par le biais votre connexion Internet et de votre adresse IP, comme s’ils agissaient depuis votre smartphone. Sans que vous vous en rendiez compte, votre téléphone est alors utilisé pour brouiller les pistes dans le cadre d’opérations criminelles. Les chercheurs ont découvert « plusieurs campagnes parallèles ciblant des clients de banques et de portefeuilles de cryptomonnaies en France, en Italie et en Autriche ».
À lire aussi : Victime d’une cyberattaque, cette crypto a été réinitialisée de toute urgence
Un nouveau malware sur la blockchain
Jusqu’ici, TrickMo, comme tous les virus de ce type, communiquait avec ses concepteurs par le biais de simples serveurs web. Les équipes de sécurité pouvaient alors repérer les serveurs, bloquer les adresses IP ou neutraliser leurs noms de domaine. Cette nouvelle version est différente. TrickMo « peut être considéré comme une menace ‘renaissante’ : pas entièrement nouvelle, mais affinée et adaptée pour rester efficace », note ThreatFabric.
Au lieu de cacher les instructions du virus sur un serveur, les pirates les glissent sur la blockchain, la technologie décentralisée au cœur des cryptomonnaies. Une fois les données inscrites dans la chaîne de blocs, elles ne peuvent plus être supprimées ou censurées. Les chercheurs et les équipes de sécurité ne peuvent donc pas court-circuiter l’infrastructure des hackers, comme c’est le cas avec un malware.
En l’occurrence, les hackers se sont tournés vers TON (The Open Network), une blockchain initialement développée par les créateurs de Telegram. Dans les transactions du réseau, les hackers ont caché toutes les instructions qui permettent de guider le logiciel malveillant. C’est avec ces instructions, encodées dans TON, que le malware sait ce qu’il doit faire et comment dérober les données bancaires des victimes.
Notez que TrickMo n’est pas le premier virus à opérer depuis la blockchain. L’an dernier, des hackers nord-coréens se sont mis à cacher des scripts malveillants dans des contrats intelligents (smart-contracts) sur la blockchain Ethereum ou sur la Binance Smart Chain. Quelques mois plus tard, en avril 2026, un nouveau logiciel malveillant, baptisé Omnistealer, a été découvert sur des blockchains publiques, sur des réseaux comme TRON, Aptos ou Binance Smart Chain.
Comment se protéger contre TrickMo ?
En dépit des astuces déployées par les pirates, il est assez facile de se protéger contre TrickMo. Vous devez à tout prix éviter d’installer une application en dehors du Google Play Store. Par ailleurs, méfiez-vous des applications qui demandent un accès aux services d’accessibilité de votre smartphone, sans une bonne raison. Blockchain ou pas, ces précautions devraient permettre d’éviter la plupart des applications malveillantes.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Threat Fabric
