Le rituel familier \u00e0 la caisse du supermarch\u00e9 : une fois que tout a \u00e9t\u00e9 scann\u00e9, on vous propose avec un sourire plein d\u2019espoir : \u00ab\u00a0Une petite barre chocolat\u00e9e pour la route ? C\u2019est une bonne affaire, et la r\u00e9duction est presque scandaleuse.\u00a0\u00bb Si vous avez de la chance, vous obtiendrez un d\u00e9licieux petit plus \u00e0 un prix tr\u00e8s avantageux. Mais le plus souvent, on essaie de vous vendre un produit qui ne se vend pas bien : soit parce qu\u2019il est proche de la date de p\u00e9remption, soit parce qu\u2019il a un autre d\u00e9faut cach\u00e9.<\/p>\n
Imaginez maintenant que vous ayez refus\u00e9 cette barre de chocolat, mais qu\u2019elle ait \u00e9t\u00e9 gliss\u00e9e secr\u00e8tement dans votre sac, ou pire encore, dans votre poche, o\u00f9 elle a fondu et ab\u00eem\u00e9 vos v\u00eatements, g\u00e2chant ainsi votre journ\u00e9e. Il est arriv\u00e9 la m\u00eame chose \u00e0 ceux qui ont achet\u00e9 des imitations de smartphones de marques populaires sur des places de march\u00e9 en ligne. Alors non, ils n\u2019ont pas re\u00e7u de barre chocolat\u00e9e. Ils ont \u00e9t\u00e9 les heureux propri\u00e9taires d\u2019un smartphone flambant neuf dont le micrologiciel contenait le cheval de Troie Triada. C\u2019est bien pire que du chocolat fondu. Avant m\u00eame d\u2019avoir prononc\u00e9 \u00ab\u00a0Bonne affaire !\u00a0\u00bb, leurs cryptomonnaies, leurs comptes Telegram, WhatsApp et leurs profils de r\u00e9seaux sociaux pourraient avoir disparu. Il est possible que leurs messages texte soient d\u00e9tourn\u00e9s et bien pire encore.<\/p>\n
C\u2019est le nom que nous avons donn\u00e9, chez Kaspersky, au cheval de Troie que nous avons d\u00e9couvert et d\u00e9crit en d\u00e9tail<\/a> pour la premi\u00e8re fois en 2016. Ce programme malveillant mobile s\u2019infiltrait dans presque tous les processus ex\u00e9cut\u00e9s sur un appareil, tout en r\u00e9sidant uniquement dans la m\u00e9moire vive (RAM).<\/p>\n L\u2019\u00e9mergence de Triada a marqu\u00e9 le d\u00e9but d\u2019une nouvelle \u00e8re dans l\u2019\u00e9volution des menaces mobiles visant Android. Avant Triada, les chevaux de Troie \u00e9taient relativement inoffensifs\u00a0: ils se contentaient principalement d\u2019afficher des annonces et de t\u00e9l\u00e9charger d\u2019autres chevaux de Troie. Cette nouvelle menace d\u00e9montre que les choses ne seront plus jamais les m\u00eames.<\/p>\n Avec le temps, les d\u00e9veloppeurs d\u2019Android ont corrig\u00e9 les vuln\u00e9rabilit\u00e9s exploit\u00e9es par les premi\u00e8res versions de Triada. Les versions r\u00e9centes d\u2019Android restreignent la possibilit\u00e9 de modifier les partitions du syst\u00e8me, m\u00eame pour les utilisateurs disposant de droits d\u2019acc\u00e8s root. Cela a-t-il permis d\u2019arr\u00eater les cybercriminels\u00a0? \u2026\u00e0 votre avis\u00a0?<\/p>\n En mars\u00a02025, nous avons d\u00e9couvert une version adapt\u00e9e de Triada qui exploite les nouvelles restrictions. L\u2019acteur de la menace infecte le micrologiciel avant m\u00eame que les smartphones ne soient vendus. Pr\u00e9install\u00e9 dans les partitions du syst\u00e8me, le programme malveillant se montre quasiment impossible \u00e0 supprimer.<\/p>\n Notre solution de s\u00e9curit\u00e9 Android<\/a>d\u00e9tecte la nouvelle version de Triada sous le nom de Backdoor.AndroidOS.Triada.z<\/strong>. C\u2019est cette nouvelle version qui est int\u00e9gr\u00e9e dans le micrologiciel des faux smartphones Android disponibles sur les places de march\u00e9 en ligne. Elle peut ainsi pirater n\u2019importe quelle<\/em> application fonctionnant sur l\u2019appareil. Le cheval de Troie se retrouve donc avec des possibilit\u00e9s pratiquement illimit\u00e9es. Il peut contr\u00f4ler les messages texte et les appels, voler des cryptomonnaies, t\u00e9l\u00e9charger et ex\u00e9cuter d\u2019autres applications, remplacer des liens dans les navigateurs, envoyer subrepticement des messages dans les messageries en votre nom et pirater des comptes de r\u00e9seaux sociaux.<\/p>\n Une copie de Triada s\u2019infiltre dans chaque application lanc\u00e9e sur un appareil infect\u00e9. En outre, le cheval de Troie comprend des modules sp\u00e9cialis\u00e9s qui ciblent des applications populaires. D\u00e8s que l\u2019utilisateur t\u00e9l\u00e9charge une application authentique comme Telegram ou TikTok, le cheval de Troie s\u2019y incorpore et commence \u00e0 causer des dommages.<\/p>\n Telegram. <\/strong>Triada t\u00e9l\u00e9charge deux modules pour compromettre Telegram. Le premier lance une activit\u00e9 malveillante une fois par jour, en se connectant \u00e0 un serveur de commande et de contr\u00f4le (C2). Il envoie le num\u00e9ro de t\u00e9l\u00e9phone de la victime aux criminels, ainsi que toutes les donn\u00e9es d\u2019authentification, y compris le jeton d\u2019acc\u00e8s. Le deuxi\u00e8me module filtre l\u2019ensemble des messages, interagit avec un bot (qui n\u2019existait pas au moment de notre recherche) et supprime les notifications concernant les nouvelles connexions \u00e0 Telegram.<\/p>\n Instagram.<\/strong> Une fois par jour, le cheval de Troie ex\u00e9cute une t\u00e2che malveillante afin de rechercher les cookies de session actifs et de transmettre les donn\u00e9es aux pirates informatiques. Ces fichiers aident les criminels \u00e0 prendre le contr\u00f4le total du compte.<\/p>\n Navigateurs. <\/strong>Triada menace plusieurs navigateurs\u00a0: Chrome, Opera, Mozilla et quelques autres. La liste compl\u00e8te est disponible dans l\u2019article Securelist<\/a>. Le module se connecte au serveur C2 via le protocole TCP et redirige de mani\u00e8re al\u00e9atoire les liens l\u00e9gitimes dans les navigateurs vers des sites publicitaires pour le moment. Cependant, \u00e9tant donn\u00e9 que le cheval de Troie t\u00e9l\u00e9charge des liens de redirection \u00e0 partir de son serveur C2, les pirates informatiques peuvent rediriger les utilisateurs vers des sites de phishing \u00e0 tout moment.<\/p>\n WhatsApp.<\/strong> Une fois encore, il existe deux modules. Le premier collecte et envoie toutes les cinq minutes des donn\u00e9es sur la session active au serveur C2, donnant ainsi aux pirates informatiques un acc\u00e8s complet au compte de la victime. Le second intercepte les fonctions client destin\u00e9es \u00e0 l\u2019envoi et \u00e0 la r\u00e9ception de messages, ce qui permet au programme malveillant d\u2019envoyer puis de supprimer des messages instantan\u00e9s arbitraires afin de couvrir ses traces.<\/p>\n LINE.<\/strong> Le module Triada d\u00e9di\u00e9 collecte les donn\u00e9es internes de l\u2019application, y compris les donn\u00e9es d\u2019authentification (jeton d\u2019acc\u00e8s), toutes les 30\u00a0secondes, et les transmet au serveur\u00a0C2. Dans ce cas \u00e9galement, une autre personne prend le contr\u00f4le total du compte de l\u2019utilisateur.<\/p>\n Skype.<\/strong> Bien que Skype soit sur le point d\u2019\u00eatre abandonn\u00e9<\/a>, Triada dispose toujours d\u2019un module permettant de l\u2019infecter. Triada utilise plusieurs m\u00e9thodes pour obtenir le jeton d\u2019authentification, puis l\u2019envoie au serveur\u00a0C2.<\/p>\n TikTok. <\/strong>Ce module permet de collecter de nombreuses donn\u00e9es relatives au compte de la victime \u00e0 partir des fichiers cookies stock\u00e9s dans le r\u00e9pertoire interne, ainsi que d\u2019extraire les donn\u00e9es n\u00e9cessaires \u00e0 la communication avec l\u2019API TikTok.<\/p>\n Facebook. <\/strong>Triada est \u00e9quip\u00e9 de deux modules pour cette application. L\u2019un d\u2019eux vole les cookies d\u2019authentification, tandis que l\u2019autre envoie des informations sur l\u2019appareil infect\u00e9 au serveur\u00a0C2.<\/p>\n Bien s\u00fbr, il existe \u00e9galement des modules pour les SMS et les appels<\/strong>. Le premier module SMS<\/strong> permet au programme malveillant de filtrer l\u2019ensemble des messages entrants et d\u2019en extraire des codes, de r\u00e9pondre \u00e0 certains messages (probablement pour abonner les victimes \u00e0 des services payants) et d\u2019envoyer des SMS arbitraires sur instruction du serveur C2. Le deuxi\u00e8me module auxiliaire d\u00e9sactive la protection Android int\u00e9gr\u00e9e contre les chevaux de Troie par SMS qui demandent l\u2019autorisation de l\u2019utilisateur avant d\u2019envoyer des messages \u00e0 des num\u00e9ros courts (SMS Premium), qui peuvent \u00eatre utilis\u00e9s pour confirmer des abonnements payants.<\/p>\n Le module d\u2019appel<\/strong> s\u2019int\u00e8gre dans l\u2019application du t\u00e9l\u00e9phone, mais il est probablement encore en cours de d\u00e9veloppement. Nous avons d\u00e9couvert qu\u2019il permettait en partie l\u2019usurpation de num\u00e9ros de t\u00e9l\u00e9phone, une fonctionnalit\u00e9 qui devrait \u00eatre bient\u00f4t finalis\u00e9e.<\/p>\n Un autre module, un proxy inverse<\/strong>, permet de transformer le smartphone de la victime en serveur proxy inverse, donnant ainsi aux pirates informatiques acc\u00e8s \u00e0 des adresses IP arbitraires en se faisant passer pour la victime.<\/p>\n Sans surprise, Triada cible \u00e9galement les d\u00e9tenteurs de cryptomonnaies, qui auront droit \u00e0 une surprise sp\u00e9ciale\u00a0: un clipper<\/strong>. Le cheval de Troie scrute le presse-papiers \u00e0 la recherche d\u2019adresses de portefeuilles de cryptomonnaies, qu\u2019il remplace par l\u2019une de celles des pirates informatiques. Un voleur de cryptomonnaies<\/strong> analyse l\u2019activit\u00e9 de la victime et remplace les adresses de portefeuille cryptographique par des adresses frauduleuses partout o\u00f9 il le peut, d\u00e8s qu\u2019une tentative de retrait de cryptomonnaie est effectu\u00e9e. Il interf\u00e8re m\u00eame avec les gestionnaires de boutons tactiles \u00e0 l\u2019int\u00e9rieur des applications et remplace les images par des codes QR g\u00e9n\u00e9r\u00e9s qui renvoient vers les adresses de portefeuille des pirates informatiques. Gr\u00e2ce \u00e0 ces outils, les criminels ont r\u00e9ussi \u00e0 voler plus de 264\u00a0000\u00a0dollars en diverses cryptomonnaies depuis le 13\u00a0juin\u00a02024.<\/p>\n Consultez notre rapport Securelist<\/a> pour obtenir la liste compl\u00e8te des fonctionnalit\u00e9s de Triada ainsi qu\u2019une analyse technique d\u00e9taill\u00e9e.<\/p>\n Dans tous les cas d\u2019infection dont nous avons pris connaissance, le nom du micrologiciel sur l\u2019appareil diff\u00e9rait d\u2019une seule lettre du nom de la version officielle. Par exemple, le micrologiciel officiel \u00e9tait TGPMIXM<\/strong>, tandis que les t\u00e9l\u00e9phones infect\u00e9s utilisaient le micrologiciel TGPMIXN<\/strong>. Nous avons trouv\u00e9 des messages sur des forums de discussion sp\u00e9cialis\u00e9s dans lesquels des utilisateurs se plaignaient d\u2019appareils contrefaits achet\u00e9s dans des boutiques en ligne.<\/p>\n Il est probable qu\u2019un maillon de la cha\u00eene d\u2019approvisionnement ait \u00e9t\u00e9 compromis, tandis que les boutiques ignoraient totalement qu\u2019elles distribuaient des appareils infect\u00e9s par Triada. En attendant, il est pratiquement impossible de d\u00e9terminer avec exactitude \u00e0 quel moment le programme malveillant a \u00e9t\u00e9 introduit dans les smartphones.<\/p>\n La nouvelle version du cheval de Troie \u00e9tait pr\u00e9install\u00e9e sur des appareils contrefaits. Par cons\u00e9quent, la meilleure fa\u00e7on d\u2019\u00e9viter l\u2019infection par Triada est d\u2019acheter des smartphones uniquement aupr\u00e8s de revendeurs agr\u00e9\u00e9s. Si vous pensez que votre t\u00e9l\u00e9phone a \u00e9t\u00e9 infect\u00e9 par Triada (ou un autre cheval de Troie), voici nos recommandations.<\/p>\n \u00a0<\/p>\n Triada est loin d\u2019\u00eatre le seul cheval de Troie pour appareils mobiles. Suivez ces liens pour d\u00e9couvrir nos articles consacr\u00e9s \u00e0 d\u2019autres programmes malveillants Android\u00a0:<\/p>\n \u00a0<\/p>\n\n \u00a0<\/p>\n","protected":false},"excerpt":{"rendered":" Des smartphones contrefaits imitant des marques connues et propos\u00e9s en ligne sont pr\u00e9install\u00e9s avec le redoutable cheval de Troie Triada.<\/p>\n","protected":false},"author":2739,"featured_media":22746,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[686],"tags":[59,522,180,325,4122,14,448,1260,58,2725,4120,590],"class_list":{"0":"post-22745","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-android","9":"tag-chevaux-de-troie","10":"tag-confidentialite","11":"tag-cookies","12":"tag-cryptomonnaies","13":"tag-facebook","14":"tag-instagram","15":"tag-messageries","16":"tag-reseaux-sociaux","17":"tag-telegram","18":"tag-triada","19":"tag-whatsapp"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/trojan-in-fake-smartphones\/22745\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/trojan-in-fake-smartphones\/28778\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/trojan-in-fake-smartphones\/24012\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/trojan-in-fake-smartphones\/12383\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/trojan-in-fake-smartphones\/28891\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/trojan-in-fake-smartphones\/28073\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/trojan-in-fake-smartphones\/30910\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/trojan-in-fake-smartphones\/29611\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/trojan-in-fake-smartphones\/39418\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/trojan-in-fake-smartphones\/13304\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/trojan-in-fake-smartphones\/53331\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/trojan-in-fake-smartphones\/23675\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/trojan-in-fake-smartphones\/32106\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/trojan-in-fake-smartphones\/29055\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/trojan-in-fake-smartphones\/34835\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/trojan-in-fake-smartphones\/34467\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/android\/","name":"android"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/22745","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2739"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=22745"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/22745\/revisions"}],"predecessor-version":[{"id":22747,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/22745\/revisions\/22747"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/22746"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=22745"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=22745"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=22745"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}De quoi est capable cette nouvelle version\u00a0?<\/h2>\n
Comment les programmes malveillants s\u2019infiltrent dans les smartphones<\/h2>\n
Comment se prot\u00e9ger contre le cheval de Troie Triada<\/h2>\n
\n
\n