Le marketing de la cybersécurité adore inventer des concepts lisses. Les éditeurs d'antivirus vous vendent de la résilience, de l'agilité, de l'intelligence artificielle défensive. La réalité du terrain est beaucoup plus brute, beaucoup plus sale. Les cybercriminels ne cherchent pas à être élégants. Ils cherchent à durer.
Le retour sur scène du cheval de Troie TrickMo en est la preuve flagrante. Ce logiciel malveillant, spécialisé dans le siphonnage de comptes bancaires sur les systèmes Android, vient de subir une mutation technique majeure. Sa nouvelle spécificité ? L'exploitation de la technologie décentralisée pour rendre ses infrastructures de commande totalement indestructibles par les autorités. Les pare-feux traditionnels ne suffisent plus. Explications.
L'évolution d'un prédateur mobile
TrickMo n'est pas un nouveau venu dans l'écosystème du crime numérique. Les premières traces de ce cheval de Troie bancaire remontent à l'année 2020. À l'époque, son architecture restait conventionnelle. Le code malveillant ciblait le système d'exploitation mobile de Google avec un objectif simple : intercepter les données financières des utilisateurs.
En 2024, le malware avait déjà franchi un cap en se démultipliant sous la forme d'une quarantaine de variantes distinctes. Le cœur de son dispositif reposait — et repose toujours — sur une technique redoutable : les attaques par superposition d'écrans (overlay attacks).
Le principe est un modèle d'ingénierie sociale appliquée à l'interface utilisateur. Imaginez que vous ouvriez l'application officielle de votre banque. À la fraction de seconde où vous tapez sur l'icône, une copie conforme de l'écran de connexion s'affiche par-dessus l'application légitime. Pour l'utilisateur, la transition est invisible. Vous tapez votre identifiant. Votre code secret. C'est terminé. Les données ne partent pas vers le serveur de votre établissement bancaire, mais directement dans les bases de données des attaquants.
Au-delà du vol d'identifiants
Le siphonnage des identifiants ne constitue que la première phase de l'assaut. Pour valider un virement frauduleux, les attaquants doivent contourner l'authentification à deux facteurs (2FA). TrickMo intègre pour cela des fonctionnalités avancées d'interception.
Le virus s'octroie le contrôle total du flux de messages de l'appareil. Il intercepte les SMS contenant les codes de validation à usage unique (OTP). Pire encore, le malware dispose de modules de contrôle à distance capables de manipuler le téléphone à l'insu de sa victime, y compris lorsque l'écran de l'appareil semble verrouillé.
TrickMo.C : l'itération de 2026
La menace a franchi un nouveau palier technologique au début de l'année 2026. Entre les mois de janvier et février 2026, les analystes de la firme de sécurité néerlandaise ThreatFabric ont identifié une nouvelle variante majeure du logiciel, baptisée TrickMo.C.
Le vecteur d'infection privilégie le contournement des magasins d'applications officiels. Les attaquants exploitent la crédulité des utilisateurs en déguisant leur code malveillant sous les traits d'applications extrêmement populaires. De fausses versions de la plateforme de vidéos TikTok ou des lecteurs multimédias modifiés servent de chevaux de Troie. Ces fichiers d'installation corrompus (fichiers APK) sont distribués via des sites de téléchargement tiers, des publicités malveillantes ou des campagnes de phishing ciblant spécifiquement des utilisateurs en France, en Italie et en Autriche.
La compromission des portefeuilles cryptographiques
Le spectre des cibles de TrickMo.C s'est considérablement élargi. Les banques traditionnelles ne sont plus les seules lignes de mire. Les détenteurs de crypto-portefeuilles (wallets) subissent désormais des assauts ciblés.
Ici, la technique d'overlay s'adapte aux spécificités du Web3. Le malware cherche à intercepter la clé privée ou la phrase de récupération (seed phrase) de la victime. Une phrase de récupération s'apparente au code maître d'un coffre-fort de banque : quiconque la possède détient un accès absolu, irréversible et anonyme aux fonds. Dès que ces mots sont saisis sur un faux écran de configuration, le portefeuille est vidé en quelques secondes par des scripts automatisés.
Le smartphone transformé en proxy criminel
La variante TrickMo.C introduit une fonctionnalité particulièrement perverse : la transformation de l'appareil infecté en proxy réseau.
Concrètement, qu'est-ce que cela signifie ? Les cybercriminels n'utilisent pas seulement votre téléphone pour voler votre argent. Ils l'utilisent comme un relais pour masquer leurs propres activités illégales sur Internet. Tout le trafic malveillant lié à d'autres cyberattaques, à du trafic de données ou à des connexions frauduleuses transite par la connexion Internet et l'adresse IP de votre smartphone. Pour les enquêteurs et les services de police, les indices numériques pointeront directement vers votre ligne résidentielle ou votre abonnement mobile. Le véritable attaquant devient invisible. Vous devenez son bouclier juridique.
L'infrastructure décentralisée : l'arme de l'invincibilité
La véritable rupture technologique de TrickMo.C réside dans son architecture réseau. Jusqu'à présent, la quasi-totalité des logiciels malveillants mobiles fonctionnait selon un modèle classique de type client-serveur. Le virus installé sur le téléphone communiquait avec un serveur de commande et de contrôle — appelé serveur C2 (Command & Control) — hébergé sur le web traditionnel.
Ce modèle présente une faille majeure pour les criminels : la centralisation. Lorsqu'une entreprise de cybersécurité ou une agence gouvernementale identifie l'adresse IP ou le nom de domaine du serveur C2, elle peut engager une procédure de neutralisation (takedown). Les hébergeurs coupent les serveurs, les autorités saisissent le matériel, et les fournisseurs d'accès bloquent les connexions. Le malware devient instantanément aveugle et impuissant. Mort.
Le réseau TON comme serveur de commande indestructible
Pour contrer cette vulnérabilité, les concepteurs de TrickMo.C ont abandonné les serveurs web classiques. Ils ont migré leur infrastructure de commande directement sur la blockchain TON (The Open Network), le réseau décentralisé initialement mis au point par l'équipe fondatrice de la messagerie Telegram.
L'analogie du registre public
Concevoir la blockchain uniquement comme un outil financier est une erreur de débutant. La blockchain est avant tout un grand livre de comptes public, immuable et distribué sur des milliers d'ordinateurs à travers le globe. Si vous écrivez une information au feutre indélébile sur les murs de milliers de maisons simultanément, personne ne pourra jamais l'effacer d'un coup de brosse.
C'est exactement ce que font les opérateurs de TrickMo.C. Au lieu d'interroger un serveur central pour savoir quelles applications attaquer ou vers quelle adresse exfiltrer les données, le malware consulte les transactions publiques du réseau TON. Les pirates inscrivent les instructions opérationnelles du virus sous forme de données encodées directement dans les transactions de la blockchain.
Le résultat opérationnel est terrifiant pour les défenseurs du réseau. Les données inscrites dans une blockchain publique ne peuvent être ni supprimées, ni modifiées, ni censurées par aucune autorité judiciaire ou entreprise de tech. Les chercheurs en sécurité peuvent voir les ordres passer en clair sur la blockchain, mais ils se retrouvent dans l'incapacité technique de couper le signal. L'infrastructure des hackers est devenue indestructible.
Une tendance de fond chez les groupes étatiques
TrickMo n'est pas un cas isolé, mais l'indicateur d'une tendance lourde qui redéfinit la cybercriminalité. L'exploitation des registres décentralisés à des fins de commandement se généralise.
Au cours de l'année 2025, des groupes de hackers parrainés par l'État nord-coréen ont été repérés alors qu'ils camouflaient des scripts malveillants au sein de contrats intelligents (smart contracts) hébergés sur les réseaux Ethereum et Binance Smart Chain. Plus récemment, en avril 2026, l'émergence du logiciel malveillant Omnistealer a confirmé cette bascule en colonisant les réseaux TRON et Aptos pour piloter ses opérations d'exfiltration. La décentralisation est devenue l'asile technologique du logiciel malveillant.
Anatomie de la vulnérabilité Android : le piège de l'accessibilité
Comment un logiciel doté d'une telle sophistication technique parvient-il à s'installer sur un système d'exploitation moderne comme Android ? La réponse ne réside pas dans une faille de chiffrement complexe, mais dans l'exploitation des fonctionnalités d'ergonomie du système : les services d'accessibilité.
Conçus à l'origine pour aider les utilisateurs souffrant de handicaps visuels ou moteurs, les services d'accessibilité d'Android disposent de droits d'action quasi illimités sur l'interface. Ils peuvent lire le contenu textuel affiché à l'écran, simuler des pressions tactiles, interagir avec les fenêtres et modifier les paramètres système.
Lorsqu'un utilisateur installe une fausse application TikTok (TrickMo.C), le programme affiche des alertes répétitives, voire bloquantes, pour inciter la victime à activer ces services d'accessibilité. Dès que l'utilisateur cède et valide l'autorisation, le loup pénètre dans la bergerie. Le malware utilise alors ces droits pour s'accorder de manière autonome toutes les autres permissions nécessaires à son entreprise criminelle (accès aux SMS, lecture du stockage, autorisation d'affichage en superposition) sans que l'utilisateur n'ait plus jamais à cliquer sur "Accepter".
Guide de blindage numérique : comment neutraliser la menace
La sophistication de l'infrastructure de TrickMo sur la blockchain ne le rend pas pour autant invincible lors de sa phase d'infection. Le blocage de la menace repose sur des principes fondamentaux d'hygiène numérique et sur l'application d'une logique stricte de vérification.
1. Le verrouillage des sources d'installation
Le premier rempart consiste à interdire radicalement l'installation d'applications provenant de sources inconnues. Le Google Play Store, malgré ses imperfections occasionnelles, applique des protocoles de filtrage automatisés et humains (Play Protect) qui éliminent la majorité de ces variantes.
- N'installez jamais de fichier d'extension
.apkreçu par message, téléchargé sur un forum ou proposé par un site tiers pour obtenir la gratuité d'un service payant.
2. L'audit critique des autorisations
Le système d'exploitation Android fragmente ses accès. Aucun lecteur vidéo, aucun réseau social, aucun jeu n'a de raison légitime de solliciter l'activation des services d'accessibilité.
- Si une application fraîchement installée exige l'activation de ces fonctionnalités d'ergonomie pour fonctionner, refusez immédiatement et procédez à la désinstallation pure et simple du programme.
3. La surveillance des comportements suspects
L'activité de TrickMo laisse des traces comportementales visibles sur l'appareil. Une vigilance quotidienne permet de détecter une infection latente avant le vol de données :
- Une baisse brutale et inexpliquée de l'autonomie de la batterie.
- Une surchauffe de l'appareil alors qu'il est en veille (signe potentiel que le smartphone est exploité comme proxy réseau).
- Des micro-saccades ou des clignotements d'écran lors de l'ouverture de vos applications financières.
La technologie de la blockchain offre aux cybercriminels une immunité technique contre la censure de leurs serveurs. Face à cette asymétrie de la menace, la sécurité ne dépend plus de la capacité des autorités à neutraliser les réseaux de serveurs, mais de la rigueur opérationnelle de chaque utilisateur sur son propre terminal mobile.