Malware Android : la campagne de fraude aux services premium qui coûte des centaines d'euros aux victimes

En mars 2025, les chercheurs de zLabs ont identifié une campagne massive ciblant les utilisateurs Android à travers le monde. Près de 250 applications malveillantes ont été déployées pour inscrire silencieusement des victimes à des services SMS premium, sans leur consentement. Le préjudice moyen par utilisateur infecté dépasse plusieurs centaines d’euros selon les analyses de trafic détectées. Cette operation exploitait délibérément les failles de facturation des opérateurs mobiles pour générer des revenus considérables pour les attaquants, tout en restant indétectable pendant des mois sur les appareils infectés. \n\n## Une fraude par facturation operator massive et ciblée\n\nLa campagne repose sur un mécanisme de carrier billing fraud (fraude à la facturation opérateur) d’une sophistication rarement observée sur Android. Contrairement aux campagnes de malware classique qui cherchent à voler des données ou à chiffrer des fichiers contre rançon, cette operation vise exclusivement le profit financier immédiat via l’inscription forcée à des services SMS surtaxés. Le schéma operationnel suit une logique froide : des applications piégées, une verification d’éligibilité via le code SIM, puis une automation complète du processus d’abonnement.\n\nCe qui rend cette campagne particulièrement préoccupante, c’est sa capacité à cibler sélectivement les victimes en fonction de leur opérateur mobile. Le malware contient des listes codées des opérateurs compatibles, et seul un utilisateur dont le SIM correspond à ces criteres se retrouve effectivement inscrit aux services premium. Dans le cas contraire, l’application affiche un contenu inoffensif pour éviter toute detection. Cette approche duale permet aux attaquants de maintenir un profil extremely discret tout en maximisant le taux de conversion frauduleux sur les appareils éligibles.\n\n### Répartition géographique des infections\n\nLes analyses de zLabs révèlent que la campagne a principalement impacté quatre pays depuis mars 2025 :\n\n| Pays | Profil principal | Opérateurs ciblés | |——|——————|——————-| | Malaisie | Variante 1 + 2 | Multiple | | Thailande | Variante 2 (spécifique) | Short codes locaux | | Roumanie | Variante 1 + 3 | Opérateurs nationaux | | Croatie | Variante 1 + 3 | Sélection d’opérateurs | \n> « La répartition géographique des infections n’est pas aléatoire. Chaque variant a été conçu pour interagir spécifiquement avec les systèmes de facturation des opérateurs locaux, nécessitant une adaptation technique importante pour chaque marché cible. » - Rapport zLabs, mai 2025\n\n## Les trois variants découverts par les chercheurs\n\nLes analystes de zLabs ont identifié trois générations de malware, chacune apportant des améliorations significatives en termes de discrétion et d’efficacité frauduleuse. Cette évolution en plusieurs étapes témoigne d’un développement profesionnel, probablement soutenu par une structure criminelle organisée.\n\n### Variante 1 : le moteur d’abonnement automatisé\n\nLa premiere génération fonctionne comme un engine d’abonnement entièrement automatisé. Une fois l’application installée, le malware procède aux étapes suivantes :\n\n1. Vérification du pays et de l’opérateur via le code SIM\n2. Chargement silencieux de pages de facturation opérateur cachées\n3. Injection de JavaScript pour automatiser les clics sur les boutons d’abonnement\n4. Demande de codes OTP (One-Time Password) masqués derrière de fausses promesses\n5. Remplissage automatique du code OTP et confirmation de l’abonnement\n\nPour masquer la fraude, les applications affichent de fausses invites telles que des messages de vérification de jeu. L’utilisateur croit valider un téléchargement ou une configuration légitime alors qu’il souscrit involuntarily à un service SMS premium facturé plusieurs euros par semaine.\n\n### Variante 2 : l’attaque multi-étapes pour la Thailande\n\nLe second variant cible spécifiquement les utilisateurs thaïlandais et introduit des techniques complémentaires. L’innovation majeure reside dans l’envoi de messages SMS premium en intervals décalés pour éviter la détection par les systèmes de surveillance des opérateurs. Cette approche échelonnée permet de réduire la probabilité de blocage tout en maintenant un flux de revenus constant.\n\nEn outre, cette variante exploite le CookieManager d’Android pour voler les cookies de session des victimes. Les attaquants peuvent ainsi maintenir des sessions authentifiées sur les portails opérateurs, augmentant considérablement le taux de réussite des souscriptions frauduleuses.\n\n### Variante 3 : la surveillance en temps réel via Telegram\n\nLe troisieme variant represente l’échelon le plus sophistique de la campagne. Chaque événement d’infection, chaque octroi de permission ou chaque transaction SMS est immédiatement signalé à un canal Telegram contrôle par les attaquants. Ces rapports incluent :\n\n- Les métadonnées complètes de l’appareil\n- Les détails de l’opérateur\n- Les horodatages précis des actions\n- L’historique des tentatives de fraude\n\n> « La communication en temps réel via Telegram permet aux opérateurs de cette campagne d’ajuster dynamiquement leurs paramètres de ciblage et de vérifier le statut de chaque infection. C’est une architecture de commande et contrôle conçue pour la flexibilité operationnelle. »\n\nCette retro-engineering en temps réel permet aux fraudeurs d’optimiser continuellement leur campagne, de désactiver les variantes non performantes et de scaler les opérations les plus rentables.\n\n## Les techniques d’attaque avancées identifiées\n\nLa sophistication technique de cette campagne dépasse largement les méthodes de malware Android classiques. Les chercheurs de zLabs ont documenté au moins cinq vecteurs d’attaque distincts, chacun nécessitant des compétences de developpement spécifiques et une connaissance approfondie des APIs Android.\n\n### Ciblage par carte SIM\n\nLe malware intègre des listes d’opérateurs hardcodées qui déterminent si l’appareil est une cible valide. Cette vérification s’effectue des la premiere execution de l’application, avant toute action frauduleuse. L’utilisateur dont le SIM ne correspond pas à la liste predefinie ne verra jamais le contenu malveillant. Cette technique de ciblage explique pourquoi les campagnes de ce type passent souvent inaperçues : la majorite des utilisateurs infectés ne remarquent rien d’anormal.\n\n### Manipulation WebView et injection JavaScript\n\nLe malware abuse du composant WebView d’Android pour charger des pages de facturation opérateur dans un contexte invisibile. L’injection de JavaScript permet ensuite d’automatiser l’ensemble du parcours de souscription : navigation entre les pages, remplissage des formulaires, validation des conditions generales, et confirmation de l’abonnement. L’utilisateur ne voit jamais ces interactions se produire.\n\n### Interception OTP via l’API SMS Retriever de Google\n\nL’exploitation de l’API SMS Retriever de Google constitue l’une des techniques les plus ingénieuses de cette campagne. Cette API, légitime et destinee à faciliter la saisie automatique des codes OTP pour les utilisateurs, est detourné pour intercepter les codes de verification envoyé par les opérateurs. Le malware lit le code entrants et le remplit automatiquement dans le formulaire de souscription, rendant la fraude complètement invisible pour la victime.\n\n\n// Exemple simplifié du mécanisme d'interception\nclass SmsReceiver extends BroadcastReceiver {\n public void onReceive(Context context, Intent intent) {\n if (SmsRetriever.SMS_RETRIEVED_ACTION.equals(intent.getAction())) {\n Bundle extras = intent.getExtras();\n SmsRetriever.ExtractString = extras.getString(SmsRetriever.EXTRA_SMS_MESSAGE);\n // Code intercepté et transmis au serveur C2\n }\n }\n}\n\n\n### Désactivation forcée du WiFi\n\nPour garantir que les transactions de facturation s’effectuent bien sur les reseaux cellulaires, le malware force la désactivation du WiFi dès que l’utilisateur tente de se connecter à un réseau sans fil. Cette technique eviter que le carrier billing ne soit bloqué ou limité sur connexion WiFi, maximisant ainsi le montant des fraudes encaissées.\n\n## Les applications piégées : de faux réseaux sociaux aux jeux vidéo\n\nLes attaquants ont soigneusement conçu leur réseau de distribution pour toucher le maximum d’utilisateurs. Près de 250 applications malveillantes ont été repérées, toutes déguisées en plateformes populaires :\n\n- Facebook et Instagram (applications de reseau social)\n- TikTok (contenu vidéo)\n- Minecraft et GTA (jeux vidéo grand public)\n- Applications de lecture de vidéos, nettoyeurs de mémoire, et clavier alternatif\n\nCes applications étaient distribuees via plusieurs canaux, y compris des stores alternatifs et des campagnes de promotion sur les reseaux sociaux. Le choix de ces marques populaires n’est pas anodin : elles beneficient d’une confiance elevee auprès du grand public, ce qui facilite considérablement l’installation par les victimes potentielles.\n\n> « L’utilisation d’icônes et de noms d’applications celebres est une stratégie de distribution classique basée sur l’exploitation de la confiance, mais le niveau de sophistication technique derriere ces façades montre que nous avons affaire à une operation criminelle organisee et financée. »\n\n## Infrastructure de commande et contrôle\n\nL’infrastructure technique支撑ant cette campagne repose sur plusieurs serveurs de commande et contrôle (C2) identifiés par les chercheurs :\n\n- apizep.mwmze[.]com\n- modobomz[.]com\n- api.modobomco[.]com\n\nCes serveurs gérer l’automation des souscriptions, le suivi des victimes, et l’exfiltration des données. Des URLs de redirection intermédiaires sont également utilisées pour journaliser les tentatives de souscription avant de rediriger l’utilisateur vers le portail de facturation legitime de l’opérateur. Cette architecture en couches complique significativement les investigations et permet aux attaquants de maintenir une traçabilité précise de leurs revenus frauduleux.\n\n### Un système de tracking intégré\n\nChaque infection inclut un identifiant structuré reprenant le nom de la fausse application, le pays, la plateforme et l’opérateur. Ce referrer tracking permet aux fraudeurs de mesurer l’efficacité de chaque canal de distribution. Ils peuvent ainsi déterminer si TikTok, Facebook ou Google Ads génèrent le plus d’installations rentables, et ajuster leurs budgets publicitaires frauduleux en consequence.\n\n## Impacts financiers et détection\n\nAu moins 12 codes courts SMS premium ont été identifiés dans le périmètre de cette campagne, chacun correspondant à des services facturés entre 5 et 30 euros par semaine selon l’opérateur et le pays. Pour un utilisateur infecté sur plusieurs mois, la facture totale peut facilement dépasser plusieurs centaines d’euros.\n\nFace à cette menace, les solutions de Zimperium (Mobile Threat Defense et zDefend) detectent et bloquent l’ensemble des échantillons identifiés gràce à des analyses comportementales sur l’appareil. Contrairement aux outils bases sur les signatures, ces solutions identifient les patterns évolutifs du malware et empêchent l’activité SMS non autorisée ainsi que l’exfiltration de données en temps réel.\n\n## Comment se protéger contre cette campagne de malware\n\nLa protection contre ce type de campagne frauduleuse necessite une approche combinée, à la fois individuelle et organisationnelle. Les mesures suivantes sont vivement recommandées :\n\n1. Éviter les sources d’installation non officielles : ne télécharger des applications que depuis le Google Play Store ou les boutiques officielles des fabricants. Les APK distribués sur des sites tiers représentent un risque significatif.\n\n2. Examiner attentivement les permissions demandées : une application de jeu ou de réseau social n’a normalement pas besoin d’accéder aux SMS ou au CookieManager. Toute demande de permission inhabituelle doit déclencher une méfiance immédiate.\n\n3. Surveiller ses factures mobiles : vérifier régulièrement les relevés de facturation pour identifier des charges inexpliquées, notamment des abonnements à des services SMS premium non souscrits.\n\n4. Désinstaller immédiatement les applications suspectes : en cas de comportement anormal (publicités invasives, ralentissement soudain, consommation de batterie excessive), supprimer l’application sans attendre.\n\n5. Déployer une solution MTD (Mobile Threat Defense) : les entreprises doivent intégrer des outils de détection comportementale sur les appareils mobiles de leurs collaborateurs pour identifier et bloquer les campagnes de fraude en temps réel. Elles peuvent également consulter un expert en cybersécurité pour évaluer leur exposition aux fraudes au carrier billing.\n\n## Conclusion : la fraude au carrier billing, une menace en pleine expansion\n\nCette campagne de malware Android documentée par zLabs illustre l’évolution préoccupante de la cybercriminalité financière sur mobile. La combinaison de techniques avancées - ciblage par SIM, injection JavaScript, interception OTP, et surveillance en temps réel - démontre que les groupes criminels investissent massivement dans le developpement de malware Android de plus en plus sophistique.\n\nPour les utilisateurs français, le risque reste réel malgré une exposition moins directe que dans les pays initialement ciblés. Les techniques de distribution via de fausses applications populaires peuvent traverser les frontieres, et les structures de carrier billing frauduleux ne sont pas spécifiques à certains marchés. La vigilance reste de mise : méfiance envers les applications hors Google Play, surveillance active de ses factures mobiles, et adoption d’une solution de Mobile Threat Defense constituent la meilleure défense contre ces campaigns de plus en plus organisées.\n\nL’écosystème Android, de par sa structure fragmentée et son modele de distribution ouvert, demeure une cible privilégiée pour ce type de fraude. Lesспециалисты de zLabs continuent de surveiller l’évolution de ces variants, et les производители d’appareils ainsi que Google travailleront sans doute à limiter l’exploitation des APIs détournées dans les prochaines versions d’Android. Pour rester informé des dernières menaces et des meilleures pratiques de défense, il est recommandé de suivre les salons et conférences en cybersécurité.