LEGALAUDIT
Cyber Coach

Mobile

Fausses apps banque, trojans APK et profils MDM

Le SMS dit 'mettez l'app à jour'. Le lien installé un APK hors store, ou un profil .mobileconfig sur iPhone.

10 min de lectureExpert

Drapeaux rouges à reconnaître

  • SMS ou WhatsApp demandant d'installer une app hors store officiel
  • Android : APK avec permissions SMS, accessibilite, overlay, services d'accessibilite
  • Icônes d'app banque à nom similaire mais développeur inconnu
  • iOS : demande d'installer un profil MDM ou .mobileconfig 'entreprise'
  • Navigateur qui redirige vers 'cdn.<banque>-app.apk.zip'
  • Permissions beaucoup plus larges que nécessaire (SMS, contacts, micro pour une banque ?)
  • App qui demande de désactiver Play Protect ou Lookout

Quoi faire maintenant

  • Installez les apps banque uniquement depuis store officiel en vérifiant le développeur
  • Sur Android désactivez 'sources inconnues'
  • N'installez jamais de profil MDM sur iPhone demande par un inconnu
  • Si APK installé : mode avion, sauvegarde, factory reset, restauration selective
  • Changez tous les mots de passe et revoquez sessions depuis un appareil sain
  • Vérifiez les services d'accessibilite actifs : les trojans banking s'y cachent
  • Sur iOS contrôlez Reglages -> Général -> VPN et gestion d'appareils

Cas réel

Trojan Anatsa via SMS poste, Italie 2025

Une campagne nationale envoie des SMS 'Poste : votre app n'est pas à jour, téléchargez maintenant' avec lien vers post-update.tk. Le lien installé Anatsa, trojan banking Android qui se masque en lecteur PDF à l'installation initiale.

Une fois installé, Anatsa demande services d'accessibilite pour 'lire PDF'. Après 48 heures il injecte de faux overlays sur l'app banque legitime quand l'utilisateur l'ouvre, volé identifiants et OTP en temps réel. Une comptable de Padoue a perdu 14 500 EUR en trois transactions nocturnes.

Mythos a analysé l'APK : certificat de signature lié à un cluster Anatsa connu, manifest avec permissions accessibilite et overlay, hash du binaire dans feeds threat intel. Le dossier a relie la victime à une campagne plus large avec plus de 4 200 appareils infectés en Italie.

Ce que Mythos peut faire sur ce cas

  • Analyse statique APK : manifest, permissions, certificat de signature, hashés
  • Comparaison binaire avec feeds threat intel (trojans banking connus)
  • Vérification profil iOS .mobileconfig : payload, CA, endpoint MDM
  • Extraction chaînes et endpoints C2 du binaire
  • Dossier technique pour plainte et aide à la restauration de l'appareil

Prochaines étapes

Analyser l'app avec MythosParler à Mythos