Logiciels malveillants

Pix, applis bancaires, wallets crypto : six malwares Android exploitent l’écran

Photo of Olivier Gouin Olivier Gouin Follow on Twitter mars 13, 2026
0 359 4 minutes de lecture
Analyste cybersécurité examinant un smartphone Android compromis
Des malwares Android exploitent l’accessibilité pour observer l’écran et détourner des transactions.

Six familles de malwares Android ciblent en même temps les paiements Pix, des applications bancaires et des wallets crypto, avec une méthode qui change la donne, elles volent ce qui s’affiche à l’écran. Concrètement, le code surveille l’interface, déclenche des actions via les services d’accessibilité, puis récupère des éléments sensibles comme des codes 2FA, des confirmations de transaction ou des phrases de récupération.

Le point le plus inquiétant, c’est la bascule vers la fraude « en session », le pirate n’a plus seulement besoin d’un mot de passe, il pilote le téléphone au bon moment. Des chercheurs décrivent des campagnes capables d’ouvrir une appli de wallet, de naviguer dans les menus, puis de valider des transferts, pendant que les alertes sont parfois coupées pour éviter que la victime ne réagisse. Le résultat, c’est une attaque plus discrète, plus rapide, et souvent plus difficile à contester.

Zimperium décrit PixRevolution, un trojan opérateur sur Pix au Brésil

Au Brésil, la famille PixRevolution vise les transferts PIX en temps réel, avec une logique « agent opérateur ». Plutôt que de coder une fraude différente pour chaque banque, le malware observe l’écran via l’accessibilité, repère des mots-clés liés à un paiement, puis laisse un opérateur humain, ou assisté, décider quand frapper. Le principe, c’est de regarder d’abord, d’agir ensuite, au moment où la victime est déjà dans le flux de paiement.

Les chercheurs ont relevé des éléments de mise en scène, dont des URL de logos associées à 10 institutions brésiliennes, de Nubank à Ita, Banco do Brasil, Caixa, Santander ou PicPay. Ces logos ne servent pas à détecter l’appli, ils servent à rendre un overlay crédible quand l’opérateur choisit un « code banque ». C’est un détail, mais il montre un niveau de finition, et ça aide à tromper quelqu’un qui pense interagir avec son interface habituelle.

La spécificité de Pix rend l’impact immédiat, un virement irrévocable est souvent « terminé » quand la victime comprend. Là où une fraude carte peut parfois être contestée, une transaction Pix détournée laisse peu de marge. Un analyste mobile interrogé dans un SOC résume, « sur Pix, la minute de retard coûte cher, l’attaquant n’a pas besoin d’exfiltrer des identifiants, il a juste besoin d’un créneau de 15 secondes au bon écran ».

Cyfirma détaille BankBot-YNRK, automatisation des wallets et alertes muettes

Dans la sphère crypto, des analyses attribuent à Android/BankBot-YNRK une capacité de « contrôleur » de wallets, le malware ouvre l’application, clique à la place de l’utilisateur, et capture ce qui apparaît à l’écran. L’objectif, c’est d’extraire des informations visibles, par exemple une phrase de récupération, une clé privée affichée, ou une confirmation de transaction. Cette approche contourne une partie des protections centrées sur les fichiers ou sur l’isolation des applis.

Les cibles mentionnées couvrent plusieurs actifs, dont Bitcoin, Ethereum, Litecoin ou Solana, ce qui colle avec une fraude opportuniste, on prend ce qui est accessible sur le téléphone infecté. Autre détail opérationnel, le code vérifie qu’il tourne sur un appareil physique, puis identifie le modèle pour activer des fonctions optimisées, avec des cas cités sur Google Pixel et Samsung. Ce filtrage réduit le bruit et augmente les chances de réussite.

Le volet furtif passe aussi par la gestion des signaux d’alerte. Des chercheurs décrivent une fonction qui désactive les alertes audio, appels entrants, notifications système, messages. Sur le terrain, ça compte, une victime qui n’entend plus une notification de banque ou un appel de vérification réagit plus tard. Marc, consultant en réponse à incident, le dit sans détour, « si tu ne vois rien et que tu n’entends rien, tu laisses le temps au malware de finir le transfert ».

Malwarebytes suit Albiriox, un RAT MaaS avec plus de 400 applis ciblées

Le cas Albiriox illustre la montée d’un modèle industriel, un RAT bancaire vendu en MaaS. Observé à partir de septembre 2025, il a d’abord ciblé l’Autriche, puis s’est montré conçu pour viser de nombreuses régions. Son intérêt, c’est la fraude « sur l’appareil », l’attaquant prend la main et réalise des opérations depuis le téléphone de la victime, ce qui peut contourner certains contrôles basés sur l’empreinte de l’appareil.

Les chercheurs indiquent une base interne de surveillance qui dépasse 400 applications, banques, fintech, paiements, crypto. Côté diffusion, les campagnes décrites misent sur de fausses applis et l’ingénierie sociale, dont des liens qui imitent des marques ou une page de téléchargement façon store. Dans un cas, l’appât ressemblait à une appli de retailer, avec une page qui copiait l’apparence d’un téléchargement Google Play, pour pousser à installer un dropper.

Le mécanisme pratique passe souvent par l’activation de l’option « installer des applis inconnues », puis l’installation silencieuse de la charge utile. C’est là qu’il faut nuancer, beaucoup de conseils se limitent à « ne clique pas », mais la réalité, c’est que certaines copies sont très crédibles sur mobile. La recommandation la plus robuste côté crypto reste d’éviter d’afficher une phrase de récupération sur un appareil connecté, et de privilégier un hardware wallet pour garder les clés hors ligne, même si ça ajoute une contrainte au quotidien.

À retenir

  • Des malwares Android volent des données sensibles directement depuis le contenu affiché à l’écran.
  • PixRevolution vise les transferts Pix, irrévocables, avec une logique d’attaque pilotée en temps réel.
  • BankBot-YNRK automatise l’usage des wallets crypto et peut couper les alertes audio pour rester discret.
  • Albiriox, vendu en MaaS, cible plus de 400 applis et facilite la fraude “sur l’appareil”.

Questions fréquentes

Pourquoi les attaques “par l’écran” sont-elles difficiles à bloquer ?
Parce qu’elles récupèrent des informations visibles, comme des codes 2FA ou des confirmations, au lieu de voler un fichier. Même si une appli protège bien son stockage, l’attaquant peut lire ce que l’utilisateur affiche et automatiser des actions via l’accessibilité.
Qu’est-ce qui rend Pix particulièrement attractif pour les fraudeurs ?
Les transferts Pix sont instantanés et irrévocables. Une fois l’opération validée, il reste peu de leviers de contestation, ce qui favorise les attaques qui agissent au bon moment pendant une session légitime.
Comment Albiriox arrive-t-il à toucher autant de victimes ?
Il est distribué via des techniques d’ingénierie sociale, comme de fausses pages de téléchargement et des droppers qui poussent l’utilisateur à autoriser l’installation d’applications inconnues. Son modèle MaaS facilite aussi la réutilisation par des acteurs variés.
Quelle mesure concrète réduit le risque côté crypto ?
Éviter d’afficher une phrase de récupération ou des codes sensibles sur un appareil connecté, et privilégier un hardware wallet qui conserve les clés hors ligne, ce qui limite l’exposition aux malwares qui espionnent l’écran.

Sources

Tags
Afficher plus
Photo of Olivier Gouin

Olivier Gouin

Olivier occupe aujourd'hui la fonction de Coordonnateur Régional sur la Zone Ouest (défense) du Réseau des Experts Cyber Menaces de la Police Nationale - Le RECyM depend de l'Office Anti-Cybecriminalité (OFAC). Son parcours illustre une synergie unique entre les univers de la défense et du monde civil, du public comme du privé, dans des domaines de la haute technologique, de la sécurité de l'information, de l'industrie et du secteur des services, de la gestion des risques et des assurances. Son expertise s'étend également à la formation spécialisée, notamment auprès des Compagnies d'assurances, des Courtiers et des Agents Géneraux sur les risques liés au numerique et à la cybersécurité. Très présent dans le monde de l'innovation technologique et du numérique, il a accompagné des projets et des programmes dans les secteurs technologiques de pointes et dans un environnement dual. Il a été également co-fondateur du Clusir Bretagne

Articles similaires

Photo of ChatGPT et Claude Code progressent pendant que le FBI et Cisco sonnent l’alerte cyber

ChatGPT et Claude Code progressent pendant que le FBI et Cisco sonnent l’alerte cyber

avril 16, 2026
Photo of Des applications IPTV frauduleuses propagent massivement un malware Android ciblant les services bancaires et leur utilisateurs

Des applications IPTV frauduleuses propagent massivement un malware Android ciblant les services bancaires et leur utilisateurs

février 19, 2026
Photo of Des hackers exploitent les emojis pour dissimuler du code malveillant : une nouvelle menace pour la cybersécurité

Des hackers exploitent les emojis pour dissimuler du code malveillant : une nouvelle menace pour la cybersécurité

février 19, 2026
Photo of 3 paquets malveillants découverts, 2 écosystèmes touchés, ce que les développeurs doivent surveiller attentivement

3 paquets malveillants découverts, 2 écosystèmes touchés, ce que les développeurs doivent surveiller attentivement

février 13, 2026

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page
Fermer