Publié le 2025-10-03 14:00:00. Une nouvelle menace pèse sur la sécurité mobile : le cheval de Troie bancaire « Klopatra » offre un contrôle à distance total des smartphones infectés, tandis que de nombreuses applications VPN gratuites se révèlent être des brèches pour les données personnelles.
Les experts en cybersécurité tirent la sonnette d’alarme face à une multiplication des risques sur les appareils mobiles. Le logiciel malveillant « Klopatra », découvert fin août, a déjà compromis plus de 3 000 smartphones, permettant aux cybercriminels de vider des comptes bancaires et de surveiller en temps réel l’activité des utilisateurs. Parallèlement, une enquête indépendante met en lumière les dangers des applications VPN gratuites, nombreuses sur Android et iOS, qui exposent des données sensibles.
Ce qui rend « Klopatra » particulièrement insidieux, c’est son utilisation de solutions de protection commerciale, habituellement employées pour sécuriser les logiciels légitimes contre la rétro-ingénierie. Cette technique rend la détection par les antivirus conventionnels extrêmement difficile.
Déguisé en application inoffensive
« Klopatra » se présente sous une fausse identité, se faisant passer pour une application de streaming ou de services IPTV, souvent illégaux. Les victimes l’installent volontairement, accordant ainsi des permissions étendues. Une fois activé, le cheval de Troie active une fonction de contrôle à distance dissimulée, nommée VNC (Virtual Network Computing). Les attaquants peuvent ainsi visualiser l’écran du smartphone et interagir avec en temps réel. Pour masquer leur activité, le téléphone affiche un écran noir à l’utilisateur, un camouflage parfait pour orchestrer des fraudes bancaires.
La présence du module de protection « Virbox » complique davantage l’identification du logiciel malveillant par les outils de sécurité habituels.
Les applications VPN, une porte ouverte aux données
Simultanément, une analyse approfondie révèle que des centaines d’applications VPN gratuites ne remplissent pas leur mission première de protection des données. Au lieu de cela, nombre d’entre elles collectent activement des informations utilisateur, souvent via des configurations dangereuses et des autorisations excessives.
Sur Android, certaines applications VPN intègrent même des modules malveillants capables d’envoyer secrètement les requêtes réseau des utilisateurs. Sur iOS, des erreurs de configuration entraînent une collecte silencieuse des données de localisation et des habitudes d’utilisation. Les analystes de Zimperium ont identifié des dizaines d’applications qui transmettent des données utilisateur non chiffrées vers des serveurs externes, contournant ainsi la prétendue sécurité du tunnel VPN.
Vulnérabilités chez d’autres fabricants
Les menaces ne se limitent pas aux chevaux de Troie bancaires. La société de cybersécurité Rapid7 a identifié une faille de sécurité sur les smartphones OnePlus, permettant à des applications malveillantes d’accéder aux données SMS sans autorisation explicite de l’utilisateur. OnePlus a reconnu ce problème (CVE-2025-10184) et prévoit de déployer un correctif à la mi-octobre.
Dans un autre registre, ESET a mis au jour deux campagnes de logiciels espions pour Android, « Prospy » et « Tospy ». Ces malwares se font passer pour des applications populaires comme Signal et Totok afin de subtiliser des données utilisateur, se propageant via de faux sites web et exploitant la confiance accordée à ces marques connues.
Un changement de stratégie dans les cyberattaques
L’émergence de « Klopatra » marque un tournant stratégique pour les cybercriminels. Ils s’orientent de plus en plus vers des campagnes ciblées et coordonnées plutôt que des attaques massives. L’utilisation de solutions de protection commerciale dans les malwares mobiles est une pratique rare et préoccupante, signe d’investissements financiers considérables de la part des acteurs de la cybercriminalité.
Cette évolution est d’autant plus problématique que le comportement des utilisateurs joue un rôle crucial. Le téléchargement d’applications depuis des sources non officielles, souvent pour obtenir des versions piratées, ouvre une porte béante aux risques. La fuite massive de données révélée par l’analyse des VPN gratuits démontre que, paradoxalement, les outils censés protéger peuvent devenir des points de faiblesse majeurs.
Règles de sécurité renforcées à l’horizon 2026
Dès début 2026, Google entend imposer que seules les applications certifiées par des développeurs vérifiés puissent être disponibles sur les appareils Android. Si OnePlus a annoncé un patch de sécurité pour la mi-octobre, les utilisateurs de modèles vulnérables resteront exposés jusqu’à cette date.
Depuis mars, plus de 40 variantes de « Klopatra » ont été recensées, témoignant de la rapidité d’évolution des outils développés par les cybercriminels. Il est donc primordial que les utilisateurs n’installent des applications que depuis les boutiques officielles, examinent attentivement les autorisations demandées et se montrent sceptiques face aux offres prétendument gratuites. Le prix à payer pour ces « bonnes affaires » pourrait bien être vos propres données personnelles.