L'alerte est sérieuse et illustre une nouvelle forme de cybercriminalité particulièrement sophistiquée. Selon Zimperium, cette campagne d'attaque a pris une ampleur considérable depuis avril 2024, transformant le simple geste du paiement sans contact en une porte d'entrée pour les pirates. Ces derniers ne se contentent plus de techniques de phishing classiques ; ils détournent désormais des fonctionnalités natives d'Android pour opérer en toute discrétion.
Comment cette arnaque fonctionne-t-elle exactement ?
Le mode opératoire est redoutable d'efficacité. Les cybercriminels distribuent leurs applications malveillantes en dehors du Play Store, via des fichiers APK partagés par message ou par e-mail. Une fois installée, l'application usurpe l'identité d'un service officiel (banque, portail gouvernemental, ou même Google Pay) pour gagner la confiance de l'utilisateur. Elle lui demande alors de la définir comme application de paiement par défaut.
C'est là que le piège se referme. En acceptant, la victime autorise le malware à gérer toutes les transactions sans contact. Ces logiciels malveillants exploitent la technologie de paiement sans contact NFC et la fonction HCE (Host Card Emulation) pour simuler une carte bancaire. Ils peuvent alors intercepter les données de votre carte (numéro, date d'expiration, CVV) lors d'une fausse transaction et les envoyer instantanément aux pirates via des canaux privés sur Telegram.
Quelle est l'ampleur de cette menace et qui sont les cibles ?
Ce qui n'était au départ qu'une expérimentation est devenu une chaîne d’attaque à grande échelle visant à siphonner les comptes bancaires des victimes. Les chercheurs ont identifié plus de 70 serveurs de commande et de contrôle qui coordonnent ces opérations, témoignant d'une infrastructure criminelle organisée. La menace est mondiale, mais elle semble particulièrement concentrée en Europe, notamment en Pologne, en République Tchèque, en Slovaquie et en Russie, où les paiements NFC sont très populaires.
De grandes banques européennes, comme ING ou Santander, figurent parmi les institutions dont l'identité a été usurpée pour tromper les clients. Le phénomène est tel que les experts parlent d'un modèle de malware-as-a-service (MaaS), où des outils de piratage clés en main sont vendus sur des forums clandestins à d'autres cybercriminels.
Comment se protéger efficacement contre ce type de piratage ?
La protection contre ces attaques repose avant tout sur la vigilance et de bonnes pratiques. Toute application qui vous demande de devenir le service de paiement par défaut doit être considérée comme une menace potentielle, surtout si elle n'a pas été téléchargée depuis une source officielle. Les experts de Zimperium insistent sur plusieurs points cruciaux pour sécuriser son smartphone :
- Ne téléchargez des applications qu'à partir du Google Play Store officiel. Évitez à tout prix d'installer des fichiers APK provenant de liens reçus par e-mail, SMS ou messagerie instantanée.
- Méfiez-vous systématiquement des applications qui demandent des autorisations excessives, en particulier l'accès aux privilèges de paiement NFC.
- Vérifiez toujours l'éditeur de l'application et les avis des autres utilisateurs avant de procéder à une installation.
Ces applications malveillantes abusent de fonctionnalités légitimes, ce qui les rend difficiles à détecter pour de nombreux systèmes de sécurité. La meilleure défense reste donc la prudence de l'utilisateur face à des demandes inhabituelles.
