Un nuisible silencieux : pourquoi y prêter attention
Dr.Web et Bleeping Computer ont signalé un nouveau cheval de Troie pour Android, discret et sans autorisations visibles — il reconnaît visuellement les publicités sur les pages via des modèles exécutés dans l’environnement du navigateur (TensorFlow.js) et simule des clics en arrière‑plan. Pour l’utilisateur, ce n’est pas un piratage spectaculaire — c’est une usure accélérée de la batterie, une hausse des dépenses de données mobiles et des risques pour la vie privée.
Comment fonctionne le cheval de Troie
Le code malveillant est injecté dans des applications légitimes via des mises à jour. Ensuite, il opère en deux modes : en mode «phantom» les modèles détectent et cliquent automatiquement sur les éléments publicitaires en imitant les actions humaines ; en mode «signalling» — les attaquants contrôlent les actions en temps réel. Cette approche complique la détection par les signatures traditionnelles basées sur des scripts.
«Nous constatons l’utilisation de TensorFlow.js pour la reconnaissance visuelle d’éléments publicitaires en arrière‑plan — c’est un nouveau niveau d’automatisation des autoclics, plus difficile à repérer par les méthodes standards.»
— Dr.Web, équipe de recherche en sécurité
Canaux de diffusion
Le cheval de Troie s’est propagé via la boutique GetApps sur des appareils Xiaomi et via des dépôts tiers (Apkmody, Moddroid), ainsi que par des chaînes populaires sur Telegram et Discord. Les applications infectées ressemblent à des jeux ou utilitaires habituels (parmi les noms cités — Theft Auto Mafia, Cute Pet House, Sakura Dream Academy), si bien que les utilisateurs suspectent rarement un problème avant que la batterie ne commence à se décharger rapidement.
Ce que risquent l’utilisateur et le pays
Les dommages ne sont pas que techniques : les coûts de trafic et l’usure de l’appareil sont significatifs, mais surtout ils constituent une porte d’entrée pour des attaques plus sophistiquées. Les modules d’autoclics peuvent masquer d’autres fonctions ou générer une activité «bruyante» qui détourne l’attention des véritables actions malveillantes. En temps de guerre, quand les appareils mobiles sont essentiels pour la communication et les services critiques, même une application «inoffensive» en cas d’infection de masse fragilise la cyber‑résilience globale.
Mesures pratiques de protection
Les experts recommandent d’agir pragmatiquement :
- N’installez pas d’applications provenant de sources non vérifiées ; évitez les APK «crackés» et les offres douteuses «premium gratuit».
- Vérifiez les autorisations des applications installées ; surveillez les programmes avec droit d’exécution en arrière‑plan et accès réseau.
- Utilisez les boutiques officielles ou les services fournisseurs vérifiés, activez Play Protect et mettez à jour le système d’exploitation et les applications.
- Surveillez la batterie et le trafic : une consommation anormalement élevée peut indiquer une infection.
- Supprimez les applications suspectes et scannez l’appareil avec un antivirus d’éditeurs reconnus (par exemple Dr.Web) ; en cas de forte suspicion — sauvegardez vos données et effectuez une réinitialisation aux paramètres d’usine.
- Signalez les menaces détectées au CERT‑UA et au fournisseur de votre appareil.
Contexte et perspectives
Cette campagne illustre l’évolution des cybermenaces : des scripts d’autoclics simples vers l’emploi de modèles d’apprentissage automatique dans l’environnement du navigateur. Les analystes avertissent que de tels mécanismes peuvent servir de plateforme pour des escroqueries plus élaborées, y compris des pertes financières à l’avenir. Déjà en 2025, des cas de chevaux de Troie capables de dérober des fonds ou de manipuler les données de grands modèles avaient été signalés — la tendance risque de s’accentuer.
La question n’est plus seulement de savoir si cela affectera un téléphone — mais à quelle vitesse nous, en tant qu’utilisateurs, secteur et État, serons capables de détecter et de bloquer ces menaces pour préserver les communications critiques et la confiance des utilisateurs.
