Publié le 24 septembre 2025. Un nouveau cheval de Troie ciblant les utilisateurs d’Android combine des techniques de phishing classiques avec un accès à distance complet via un serveur VNC caché, permettant aux cybercriminels de prendre le contrôle total des appareils infectés.
- Un malware Android utilise des serveurs VNC cachés pour un contrôle à distance complet des smartphones.
- Les attaques se propagent via des campagnes de phishing par SMS, incitant les utilisateurs à installer de fausses applications.
- Des groupes criminels turcs sont suspectés d’être à l’origine de cette campagne ciblant principalement les utilisateurs bancaires en Europe.
Des experts en cybersécurité ont mis en lumière un cheval de Troie Android particulièrement sophistiqué, capable d’aller bien au-delà du simple vol de données. Ce malware, détecté fin septembre 2025, combine des attaques de superposition (overlay) bien connues avec un module VNC (Virtual Network Computing) dissimulé, offrant aux attaquants un contrôle à distance quasi total sur les appareils compromis.
La propagation de ce logiciel malveillant s’effectue principalement par le biais de campagnes de phishing ciblées par SMS. Les victimes sont incitées à télécharger de fausses applications, présentées comme des outils de sécurité ou des lecteurs multimédias, en dehors du Google Play Store. Une fois installé, le malware prend le contrôle de l’ensemble de l’appareil, ouvrant la voie à des fraudes financières.
Une attaque en deux temps
L’infection débute par l’envoi de messages SMS incitant les utilisateurs à télécharger des applications frauduleuses. Ces applications, déguisées en outils de sécurité ou en services IPTV, demandent de manière insistante des autorisations d’accès étendues. Selon l’analyse de la société de cybersécurité Cleafy, ces autorisations – notamment l’accès aux services d’assistance Android et les droits d’administrateur de l’appareil – sont cruciales pour le fonctionnement du malware. Elles permettent d’intercepter les interactions tactiles, de lire le contenu de l’écran et d’empêcher la désinstallation de l’application.
La première phase de l’attaque consiste en une attaque de superposition classique : lorsqu’un utilisateur ouvre une application bancaire ou de cryptomonnaie, le malware affiche une fausse fenêtre de connexion par-dessus l’application réelle. Les victimes, sans se méfier, saisissent alors leurs identifiants dans cette fausse interface, les livrant directement aux fraudeurs.
Mais la véritable menace réside dans la seconde capacité du malware : un module VNC caché. Cela permet aux criminels de contrôler l’appareil infecté à distance et en temps réel, sans que l’utilisateur ne s’en aperçoive. Ils peuvent naviguer dans l’interface, ouvrir des applications, simuler des frappes et effectuer des gestes, comme s’ils utilisaient eux-mêmes le téléphone.
Les attaquants peuvent même réduire la luminosité de l’écran à zéro et afficher une superposition noire, donnant l’impression que l’appareil est éteint. Pendant ce temps, ils effectuent des transactions financières en arrière-plan, souvent pendant la nuit, lorsque les victimes dorment.
Cible Europe, origine suspectée : Turquie
Cette campagne cible principalement les utilisateurs bancaires de plusieurs pays européens, avec un nombre particulièrement élevé d’infections signalées en Espagne et en Italie. Les chercheurs associent ce malware à un groupe criminel turc, en se basant sur des éléments d’infrastructure de commande et de contrôle.
Depuis sa première apparition en mars 2025, au moins 40 versions différentes du malware ont été découvertes, témoignant d’un développement actif et continu.
Pour échapper à la détection, le malware utilise des outils de protection de code commerciaux, tels que Virbox, qui rendent l’analyse et la rétro-ingénierie plus difficiles. Il s’installe également au démarrage de l’appareil et s’ancre profondément dans les services d’assistance Android, assurant ainsi sa persistance même après un redémarrage.
Google assure qu’aucune application contenant ce malware n’est présente sur le Play Store officiel. Les utilisateurs d’Android sont protégés par Google Play Protect, activé par défaut sur la plupart des appareils.
Une évolution inquiétante
Ce type de cheval de Troie marque une évolution dangereuse : le passage du vol de données passif au contrôle actif de l’appareil. Si les attaques de superposition ciblant les applications bancaires Android sont courantes depuis des années, l’intégration d’outils d’accès à distance transparents, comme VNC, change la donne.
Les attaquants peuvent ainsi contourner l’authentification multi-facteurs, qui repose sur des codes SMS ou des mots de passe générés par une application, en les interceptant directement sur l’appareil compromis et en les utilisant immédiatement.
Cette tendance est confirmée par la découverte récente d’autres malwares, tels que “Datzbro”, qui présentent également des capacités d’accès à distance. De plus, la prolifération de plateformes de “malware-as-a-service” sur les forums clandestins rend ces outils sophistiqués accessibles à un public plus large de cybercriminels, souvent pour un abonnement mensuel.
La prudence, meilleure défense
La meilleure protection contre ces menaces reste la prudence. Les utilisateurs ne doivent installer que des applications provenant de sources fiables et se méfier des demandes d’autorisations excessives, en particulier celles liées à l’accès aux services d’assistance Android.
Si vous utilisez la banque en ligne, PayPal ou WhatsApp sur votre téléphone portable, il est essentiel de connaître les mesures de protection adéquates. Téléchargez gratuitement notre guide de sécurité Android pour apprendre à reconnaître les superpositions frauduleuses, à limiter l’accès aux données et à sécuriser votre appareil.
Les mises à jour régulières du système et les correctifs de sécurité sont également indispensables. Dans la course sans fin entre les attaquants et les experts en sécurité, une chose est certaine : les méthodes d’attaque ne cesseront de s’affiner.
