Une nouvelle menace frappe les utilisateurs Android : le trojan baptisé « Albiriox » se propage via des applications factices et montre une capacité inquiétante à vider directement des comptes bancaires. Voici un décryptage complet et des conseils concrets pour protéger vos smartphones et vos finances.
Comment Albiriox infecte les appareils
Les attaquants n’utilisent pas le Play Store pour diffuser la plupart des échantillons repérés : ils créent des copies quasi identiques d’applications légitimes (banques, portefeuilles crypto, services de paiement) et les hébergent sur des sites tiers ou les partagent via des liens. Ces APK factices sont ensuite promus par des campagnes d’hameçonnage, des offres soi‑disant spéciales ou même diffusés via des messageries comme WhatsApp et Telegram.
La procédure d’infection suit généralement ces étapes :
La victime télécharge une APK qui semble légitime et active la permission « installer des applications depuis des sources inconnues » (souvent après une fausse justification).
Un dropper (programme d’installation) embarqué s’exécute et installe silencieusement la charge principale : le trojan Albiriox.
Le trojan s’active en arrière‑plan et attend des opportunités d’interagir avec des applications bancaires ou de paiement installées sur l’appareil.
Pourquoi Albiriox est particulièrement dangereux
Ce qui distingue Albiriox des malwares bancaires traditionnels, c’est sa capacité d’exécution directe de transactions. Au lieu de se contenter de voler des identifiants (phishing) ou d’intercepter des codes SMS, il permet aux attaquants d’initier et de valider des virements depuis les applications de banque de la victime — souvent sans déclencher d’alerte perceptible pour l’utilisateur.
D’autres éléments préoccupants :
Albiriox est proposé comme Malware‑as‑a‑Service (MaaS) : il peut être acheté en abonnement par des cybercriminels sans compétences techniques avancées.
Les campagnes ont déjà utilisé plus de 400 applications factices repérées, ciblant banques, plateformes crypto et services de paiement.
Le trojan sait contourner des protections classiques en opérant de façon discrète et en exploitant des droits système acquis via l’installation d’APK externes.
Techniques d’évasion et vecteurs de propagation
Pour maximiser son impact, Albiriox recourt à plusieurs astuces :
Social engineering poussé : messages convaincants, fausses promotions, pages clonées qui poussent à activer l’installation hors Play Store.
Utilisation des messageries pour relay : une fois téléchargé chez une première victime, l’APK est souvent partagé via les contacts (WhatsApp, Telegram), multipliant ainsi les infections.
Modularité : le malware peut recevoir des modules ou commandes à distance, lui permettant d’adapter son comportement selon la cible et d’ajouter de nouvelles fonctionnalités.
Les protections qu’il faut activer tout de suite
Heureusement, de nombreuses mesures simples réduisent fortement le risque d’infection :
N’installez des applications qu’à partir du Google Play Store. Évitez les APK téléchargés depuis des sites tiers, des liens envoyés par messagerie ou des offres « exclusives ».
Ne jamais activer « installer des sources inconnues » sauf pour un usage exceptionnel et maîtrisé — et désactivez la permission immédiatement après.
Maintenez Play Protect activé pour permettre à Google d’analyser les applications et détecter des comportements malveillants.
Tenez votre système Android et vos applications à jour : les patches de sécurité (comme ceux déployés en décembre) corrigent des failles exploitées par ce type de trojan.
Vérifiez les permissions demandées par une application : une banque officielle n’a pas besoin de permissions de SMS ou d’accès complet aux fichiers sans raison évidente.
Utilisez une application de sécurité mobile reconnue pour détecter et bloquer les APK malveillants.
Que faire si vous pensez être infecté
Si vous avez installé récemment une application en dehors du Play Store ou reçu des messages suspects, agissez vite :
Coupez l’accès internet du téléphone (mode avion) pour empêcher le trojan de communiquer avec ses serveurs de commande.
Désinstallez les applications récemment installées via les sources externes ; si l’application est « protégée », démarrez le téléphone en mode sans échec pour procéder à la désinstallation.
Scannez le terminal avec un antivirus mobile fiable pour identifier et supprimer les composants malveillants.
Changez immédiatement vos identifiants bancaires depuis un appareil sûr (autre smartphone ou PC sécurisé), et prévenez votre banque si des transactions suspectes apparaissent.
Activez les protections supplémentaires proposées par votre banque : verrouillage des virements instantanés, double authentification basée sur un matériel séparé (token), et alertes automatisées.
Mesures côté Google et perspectives
Google a intégré des correctifs de sécurité dans son patch Android de décembre et travaille sur des fonctionnalités visant à renforcer la sécurité du paiement mobile. Des mesures d’amélioration du contrôle des APK externes et des protections renforcées pour les applications bancaires sont en discussion pour réduire la surface d’attaque.
Bonnes pratiques pour un usage quotidien sécurisé
Activez l’authentification à deux facteurs (2FA) pour tous les services critiques, et privilégiez les clés physiques ou les applications d’authentification plutôt que les SMS quand c’est possible.
Limitez le nombre d’applications installées et surveillez les comportements suspects (batterie qui fond, consommation de data anormale, surchauffe).
Sauvegardez régulièrement vos données et conservez un canal de communication alternatif (téléphone, email sécurisé) pour contacter votre banque en cas d’urgence.
Albiriox rappelle que la menace mobile évolue rapidement : le passage au modèle MaaS et l’ingénierie sociale sophistiquée rendent la vigilance indispensable. En adoptant des réflexes simples (installer depuis le Play Store, maintenir les mises à jour, utiliser Play Protect et activer 2FA), vous diminuez très fortement le risque d’être la prochaine victime.
