Mobile, Actualités

Les criminels louent des téléphones virtuels pour contourner les mesures de sécurité bancaires

par Pieter Arntz | 27, 2026 mars
téléphone connecté au cloud avec un masque

Les chercheurs de Group-IB mettent en garde contre les cybercriminels qui utilisent Android virtuels pour contourner les solutions de sécurité modernes.

Les « cloud phones » sont Android virtuels capables de reproduire fidèlement les caractéristiques techniques d'un appareil réel (modèle, matériel, adresse IP, fuseau horaire, données des capteurs, comportement). Cela leur permet de contourner les systèmes de détection de fraude des banques basés sur les caractéristiques des appareils.

À l'origine, les fermes de téléphones étaient constituées d'appareils physiques et avaient été mises en place à des fins de test. Leur nombre a augmenté lorsque les entreprises ont découvert qu'elles pouvaient louer des téléphones virtuels et gonfler artificiellement les statistiques d'engagement, telles que le nombre d'abonnés, de « j'aime », de partages, etc. Cette croissance s'est encore accélérée avec le passage d'une infrastructure de fermes de téléphones physiques à des téléphones dans le cloud.

À un moment donné, les cybercriminels ont compris comment utiliser ces « téléphones de location » pour inciter les gens à leur donner accès à leurs comptes bancaires et à leurs portefeuilles de cryptomonnaies, qui étaient ensuite vidés.

Les banques ont compris le principe de ces tactiques et ont commencé à développer des applications mobiles qui s'appuient sur l'empreinte numérique des appareils. Cela leur a permis de détecter et de bloquer les faux appareils qui prenaient le contrôle des comptes des utilisateurs.

Mais comme dans toute course à l'armement, les criminels ont trouvé le moyen de contourner cette mesure. Ils « préparent » désormais les appareils en y installant des applications bancaires, en enregistrant des identifiants et en effectuant de petites transactions, afin que les comptes et les données de télémétrie des appareils semblent présenter peu de risques.

Les chercheurs soulignent que :

« Ils sont passés aux téléphones cloud, c'est-à-dire à Android accessibles à distance et hébergés dans des centres de données. À tous égards, il s'agit de véritables téléphones, équipés d'un micrologiciel authentique, dont les capteurs fonctionnent normalement et qui fournissent une attestation matérielle valide. »

Et cela ne représente pas un gros investissement pour les criminels. Les principales plateformes de téléphonie dans le cloud proposent la location d'appareils pour seulement 0,10 à 0,50 dollar de l'heure, ce qui rend l'infrastructure nécessaire à la fraude accessible à presque tout le monde.

Ces dispositifs sont notamment utilisés dans les jeux mobiles dotés d'une économie fonctionnant avec de l'argent réel. Ces jeux sont depuis longtemps confrontés à un problème spécifique : l'exploitation abusive, par des bots, de la monnaie et des ressources du jeu. Dans de nombreux cas, ces comptes automatisés peuvent générer des objets dans le jeu qui ont une valeur réelle.

Les banques sont confrontées à un autre problème : les attaques par prise de contrôle de compte (ATO). À mesure que les services bancaires sont passés des navigateurs Web aux applications mobiles, elles ont eu besoin de moyens plus fiables et plus complets pour identifier les appareils de confiance. De nombreuses banques associent désormais les comptes à des appareils spécifiques et signalent les virements qui ne proviennent pas de cet appareil.

Le point de départ d'une attaque reste l'ingénierie sociale. Les cybercriminels tentent de piéger les utilisateurs pour qu'ils leur communiquent des mots de passe à usage unique (OTP), valident une connexion ou effectuent un virement « vers un compte sécurisé ».

En coulisses, le cybercriminel se connecte à une instance de téléphone dans le cloud qui, aux yeux de la banque, ressemble déjà à l'appareil de la victime, grâce à des empreintes numériques correspondantes ou plausibles et à un comportement préconfiguré.

Une fois qu'ils ont pris le contrôle du système, les malfaiteurs effectuent des virements par paiement push autorisé (APP) (souvent vers des comptes de « mules » ), que les systèmes bancaires peuvent considérer comme présentant un faible risque, car rien ne semble indiquer que l'appareil présente un problème manifeste.

À ce stade, les malfaiteurs peuvent commencer à vider votre compte ou à revendre les téléphones virtuels à d'autres malfaiteurs. Selon les chercheurs :

« Sur les marchés du darknet, on trouve activement à la vente des comptes de dropper pré-vérifiés créés sur des téléphones virtuels ; les comptes Revolut et Wise sont proposés entre 50 et 200 dollars pièce, et l'accès à l'instance du téléphone virtuel est souvent inclus. »

Comment rester en sécurité

Les chercheurs de Group-IB recommandent aux utilisateurs finaux de :

  • Ne procédez jamais à la vérification de votre compte sur les instructions d'un tiers. N'oubliez pas que les banques et les institutions publiques ne demandent jamais à leurs clients de vérifier leur compte via des applications inconnues ou à distance.
  • Activez les fonctionnalités de sécurité intégrées à votre appareil. Utilisez les applications bancaires mobiles officielles, l'authentification biométrique et des paramètres de sécurité rigoureux au niveau de l'appareil.
  • Méfiez-vous des promesses de « gains faciles » impliquant des comptes bancaires. Il peut s'agir de fausses offres d'emploi vous demandant de « vérifier » des comptes bancaires, de soi-disant fonctionnaires vous demandant de vérifier des comptes, ou encore de représentants de banques vous invitant à transférer de l'argent vers des comptes « sûrs ».
  • Si vous pensez avoir été victime d'une attaque, contactez immédiatement votre banque. Modifiez vos mots de passe et activez l'authentification à plusieurs facteurs sur tous vos comptes.

Nous aimerions ajouter :

  • Activez, dans la mesure du possible, les alertes bancaires pour les connexions, les changements de bénéficiaire et les transactions, afin de repérer immédiatement toute activité inhabituelle.
  • Utilisez une solution anti-malware à jour et fonctionnant en temps réel sur votre appareil Android pour détecter et bloquer les programmes destinés à voler des informations.
  • En cas de doute concernant un message, consultez Malwarebytes Guard. Cet outil vous aidera à déterminer s'il s'agit d'une arnaque et vous indiquera la marche à suivre.

Nous ne nous contentons pas d'informer sur la sécurité des téléphones, nous la fournissons.

Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éloignez les menaces de vos appareils mobiles en téléchargeant dès aujourd'hui Malwarebytes pour iOS et Malwarebytes pour Android.

À propos de l'auteur

Pieter Arntz

Pieter Arntz

Chercheur en intelligence malveillante

A été un Microsoft MVP dans le domaine de la sécurité des consommateurs pendant 12 années consécutives. Parle quatre langues. Sente l'acajou et les livres reliés en cuir.

DERNIERS ARTICLES

Actualités
Une version corrompue d'Avast diffuse le logiciel malveillant Venom Stealer

Un faux site web d'Avast simule une analyse antivirus et installe à la place Venom Stealer

Mars 27, 2026

Une fausse analyse Avast vous indique que votre PC est infecté, puis installe un logiciel malveillant qui vole vos mots de passe, vos données de session et vos portefeuilles de cryptomonnaies.

Actualités
Logo Apple sur fond de chaîne

Infiniti Stealer : un nouveau programme de vol d'informations pour macOS utilisant ClickFix et Python/Nuitka

Mars 26, 2026

Un nouveau programme de vol d'informations sous macOS, NukeChain (désormais appelé Infiniti Stealer), utilise de fausses pages CAPTCHA pour inciter les utilisateurs à exécuter des commandes malveillantes.

Actualités
GlassWorm a identifié

L'attaque GlassWorm installe une fausse extension de navigateur à des fins de surveillance

Mars 26, 2026

Il se cache dans les outils de développement, surveille ensuite l'activité et vole des données, transformant ainsi une simple infection en un risque plus vaste qui touche l'ensemble de la chaîne d'approvisionnement.

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries