mai 24, 2026
Joker Anatsa malware

Le retour en force des applications piégées

On pourrait croire que les contrôles renforcés de Google auraient mis fin aux malwares sur le Play Store. Pourtant, la réalité est toute autre : des dizaines d’applications malveillantes parviennent encore à se faufiler dans la boutique officielle. Derrière des utilitaires a priori inoffensifs — lecteurs de documents, traducteurs, gestionnaires de fichiers — se cachent parfois des codes capables de voler des données bancaires, de déclencher des abonnements frauduleux ou de prendre le contrôle du smartphone.

Récemment, une campagne a révélé pas moins de 77 applications infectées, téléchargées des millions de fois à travers le monde. Parmi elles, plusieurs familles de malwares bien connues ont refait surface, avec un niveau de sophistication inquiétant.

Joker, Harly et les arnaques à l’abonnement

Le plus répandu reste Joker, un cheval de Troie spécialisé dans les abonnements frauduleux. Installé à l’insu de l’utilisateur, il exploite les autorisations SMS et téléphonie pour souscrire à des services payants. L’utilisateur découvre souvent trop tard des factures gonflées par des abonnements jamais consentis.

Au fil des années, Joker s’est perfectionné : il peut désormais intercepter des SMS, consulter le carnet de contacts, capturer des écrans et même passer des appels. Sa variante Harly pousse la dissimulation encore plus loin en camouflant son code malveillant de manière à déjouer les analyses automatisées.

Ces deux menaces continuent de prospérer grâce à des apps apparemment anodines, souvent très bien notées dans le Play Store et téléchargées par des dizaines de milliers d’utilisateurs avant que Google ne les supprime.

Anatsa, le trojan bancaire qui monte en puissance

Si Joker et Harly sont dangereux pour le portefeuille, Anatsa, aussi appelé TeaBot, représente une menace bien plus large. Ce malware bancaire, actif depuis 2020, a évolué au point de devenir l’un des plus sophistiqués de l’écosystème Android.

Sa stratégie repose sur des applications leurres : un lecteur PDF ou un gestionnaire de fichiers par exemple. Une fois installée, l’application demande à l’utilisateur une mise à jour ou télécharge silencieusement un composant additionnel depuis un serveur distant. C’est ce module qui déploie la charge finale d’Anatsa.

La dernière version observée élargit son champ d’action : plus de 800 applications financières sont ciblées, incluant des applis bancaires classiques mais aussi des plateformes de cryptomonnaie. Et contrairement aux premières campagnes, de nouveaux pays jusque-là épargnés, comme l’Allemagne ou la Corée du Sud, sont désormais concernés.

Une sophistication technique impressionnante

Anatsa ne se contente pas de voler des identifiants bancaires. Il enregistre les frappes clavier, intercepte les SMS, affiche de faux écrans de connexion imitant parfaitement les applis légitimes, et peut même exécuter des transactions frauduleuses sans que l’utilisateur s’en rende compte.

Les chercheurs ont constaté plusieurs évolutions techniques :

  • Installation directe du malware : au lieu de charger son code dynamiquement, Anatsa installe désormais son exécutable complet, ce qui accélère la prise de contrôle.
  • Chiffrement en temps réel : les chaînes sensibles ne sont décryptées qu’au moment de l’exécution, rendant l’analyse statique presque impossible.
  • Anti-analyse : le malware vérifie si le smartphone est un appareil réel ou un environnement d’émulation utilisé par les chercheurs. En cas de doute, il se comporte comme une simple app utilitaire pour détourner les soupçons.
  • Archives malformées : les fichiers contiennent des en-têtes volontairement corrompus, invisibles pour les outils classiques d’inspection.
  • Permissions intrusives : accès aux SMS, superposition d’écrans, notifications prioritaires… une fois accordées, ces permissions ouvrent la porte à un contrôle quasi total.
  • Communication chiffrée avec le serveur : les échanges entre le smartphone infecté et le centre de commande passent par un protocole obfusqué, ce qui complique leur détection.

En clair, Anatsa se comporte comme un logiciel professionnel, conçu pour résister à l’analyse et rester le plus longtemps possible sous les radars.

Une menace qui touche tout le monde

Le danger n’est pas limité aux seuls particuliers. Pour les entreprises, l’infection d’un seul appareil personnel utilisé pour accéder à la messagerie ou aux fichiers de travail peut suffire à mettre en péril l’ensemble du système d’information. Les trojans bancaires sont capables d’exfiltrer des données sensibles ou de détourner des flux financiers internes.

Les chiffres récents montrent que des millions d’utilisateurs ont téléchargé des applications vérolées avant leur retrait du Play Store. Autrement dit, la simple présence sur la boutique officielle ne garantit plus la sécurité.

Comment se protéger ?

Face à ce constat, quelques réflexes deviennent indispensables :

Pour les particuliers :

  • Ne téléchargez que des applications de développeurs connus et vérifiez toujours les avis.
  • Méfiez-vous des apps qui réclament des permissions excessives.
  • Surveillez régulièrement vos relevés bancaires et vos factures téléphoniques.
  • Installez un antivirus mobile reconnu, capable de bloquer les menaces connues.

Pour les entreprises :

  • Déployer des solutions de gestion des terminaux mobiles (MDM) pour contrôler quelles applications peuvent être installées.
  • Utiliser des outils de détection avancée de menaces mobiles capables de repérer les comportements suspects.
  • Bloquer les connexions vers les serveurs de commande identifiés dans les campagnes récentes.
  • Sensibiliser les employés à la vigilance, car la plupart des infections proviennent de gestes banals : cliquer sur « Mettre à jour », accepter des permissions, ou télécharger une app utilitaire trop belle pour être vraie.

Conclusion

La prolifération de Joker, Harly et Anatsa rappelle que la menace Android reste constante et en pleine évolution. Ces malwares ne se limitent plus à afficher de la publicité intrusive : ils volent de l’argent, des identifiants et des données sensibles.

Le cas d’Anatsa illustre particulièrement bien cette tendance : plus sophistiqué, plus résilient, et plus ambitieux dans sa cible. Derrière une simple application de lecture de documents peut se cacher une opération criminelle internationale.

La vigilance des utilisateurs et des entreprises, combinée à des solutions techniques adaptées, demeure la meilleure protection. Car sur le Play Store comme ailleurs, la règle reste la même : si une application semble trop pratique ou trop parfaite pour être vraie, elle mérite sans doute un examen attentif avant installation.

Publications similaires :

  1. AI Girlfriend : laquelle choisir selon vos envies ?
  2. 5 raisons pour lesquelles les travailleurs à domicile et à distance doivent utiliser un vpn
  3. Une faille critique sur Android menace des millions de smartphones : mettez à jour votre appareil immédiatement