Un malware Android capable de contourner la reconnaissance faciale et les codes SMS pour vider des comptes bancaires dans 21 pays. Des experts sont remontés jusqu'aux centres d'escroquerie au travail forcé localisés au Cambodge.
Un cheval de Troie bancaire inquiète particulièrement les experts en cybersécurité, en ce qu'il contourne la reconnaissance faciale et les codes de confirmation envoyés par SMS. Ce sont les chercheurs d'Infoblox Threat Intel et de l'ONG vietnamienne Chong Lua Dao qui ont mis au jour le malware Android en circulation depuis au moins 2023, capable de déjouer deux protections bancaires réputées fiables. À cause de ce dernier, des comptes ont été pillés dans 21 pays déjà. Mais en tirant le fil, les enquêteurs ont découvert que derrière le logiciel se cachait toute une organisation criminelle d'une ampleur rarement documentée.
Un malware Android qui retourne vos protections contre vous
La stratagème des hackers commence par un SMS, un appel ou un message sur les réseaux sociaux, envoyé par quelqu'un qui se fait passer pour un agent des impôts, un policier ou un conseiller bancaire. La victime est redirigée vers un site parfaitement imité, qui lui propose de télécharger une « application officielle ». Ce fichier, anodin en apparence, est en réalité un programme malveillant de 23 Mo qui s'installe silencieusement sur le téléphone, sans déclencher la moindre alerte.
Une fois installée, l'application devient un mouchard complet. Elle lit les SMS, enregistre les appels, active la caméra et le micro à distance, et aspire contacts, photos et historique du téléphone. Tout ça est transmis en temps réel à des opérateurs qui surveillent chaque appareil infecté depuis un simple tableau de bord, comme s'ils géraient une flotte d'ordinateurs dans un open space, sauf que leurs « collègues », ici, ce sont leurs victimes.
Le pire de l'opération consiste à retourner vos propres protections contre vous. L'opérateur affiche sur votre écran une fausse page de vérification d'identité, le genre de procédure que les banques utilisent de manière courante, pour vous faire scanner votre visage. Votre reconnaissance faciale est alors utilisée à votre insu pour vous connecter à votre vraie application bancaire, pendant que le code SMS (OTP) envoyé par votre banque, intercepté au passage, valide le virement frauduleux.
![Captures d'écran montrant : 1) un opérateur incitant une victime philippine à installer un fichier APK malveillant sur sss.oiago[.]cc via Facebook Messenger ; 2) le déploiement ultérieur par l'opérateur d'une procédure de vérification KYC ; 3) et 4) le retrait par l'opérateur des fonds de la victime auprès de BBVA Mexique. © Chong Lua Dao](http://pic.clubic.com/82bf5afb2404438/1152x624/smart/capture-d-e-cran-qui-montre-le-stratage-me-des-escrocs-du-cambdoge.webp)
Trente-cinq nouveaux domaines pirates par mois, une MaaS industrielle
C'est une anomalie dans les requêtes DNS de ses clients, en mars 2025, qui a mis Infoblox sur la piste. Les chercheurs ont mis au jour une plateforme de malware-as-a-service (MaaS, ou logiciel malveillant en tant que service) jusqu'alors inconnue. Environ 35 nouveaux domaines frauduleux y sont enregistrés chaque mois pour imiter aussi bien des banques que des caisses de retraite, des services fiscaux ou des compagnies aériennes, avec une infrastructure aussi bien organisée qu'un vrai service en ligne.
L'opération malveillante frappe au moins 21 pays, parmi lesquels l'Indonésie, l'Espagne, le Brésil et l'Afrique du Sud. Les domaines, enregistrés principalement auprès de bureaux basés à Hong Kong et masqués derrière Cloudflare pour compliquer leur traçage, arborent délibérément des suffixes du type « go » ou « gov », pour imiter les adresses gouvernementales officielles. Plus de 400 domaines leurres ont été analysés par les spécialistes cyber.
C'est grâce aux témoignages de personnes parvenues à s'échapper du complexe pénitentiaire K99 Triumph City, à Sihanoukville au Cambodge, que le lien a pu être établi. Ces travailleurs, retenus de force et contraints d'escroquer des victimes sous peine de coups et d'électrochocs selon leurs déclarations, ont fourni aux chercheurs des captures d'écran de leurs outils de travail quotidiens, des documents qui correspondent exactement aux domaines frauduleux identifiés dans l'enquête.
K99 Triumph City, plaque tournante d'une cyberfraude mondiale aux connexions politiques troublantes
Le complexe K99 Triumph City est la propriété du groupe cambodgien K99, dirigé par l'homme d'affaires Rithy Raksmei, proche du sénateur Kok An, l'une des fortunes du pays, par ailleurs recherché par la Thaïlande pour fraude informatique et blanchiment d'argent. Les deux hommes ont récemment été nommément cités par le Congrès américain dans une résolution visant les réseaux criminels internationaux impliqués dans des escroqueries en ligne à grande échelle.
Au mois de février, en début d'année, les autorités thaïlandaises ont saisi 407 millions de dollars d'actifs liés à ce réseau. Parmi les personnes visées figure Yim Leak, ancien directeur du complexe K99 et fils du vice-Premier ministre cambodgien Yim Chhay Ly, lui aussi dans le collimateur de la justice américaine. Ce qui est troublant, c'est que son nom a depuis été effacé du registre officiel des entreprises au Cambodge. Les chercheurs, qui avaient anticipé la manœuvre, en avaient heureusement gardé une copie.
Malgré les enquêtes et les saisies, la machine tourne toujours. De nouveaux sites frauduleux sont créés en permanence, les campagnes gagnent l'Afrique et l'Amérique latine, et certains domaines sont tout simplement réemployés : un site utilisé hier pour des arnaques aux cryptomonnaies devient aujourd'hui un vecteur de malware bancaire. En devant se battre contre un réseau aussi réactif et rentable, les autorités reconnaissent elles-mêmes que le démanteler est un défi de tous les jours.
