Chevaux de Troie bancaires et logiciels malveillants mobiles ciblant les applications financières algériennes

Algérie Poste a publié plusieurs avertissements officiels concernant des liens frauduleux circulant sur les réseaux sociaux et des sites web qui usurpent l’identité de l’application de paiement mobile BaridiMob. Les fichiers APK contrefaits reproduisent l’image de marque et l’interface de l’application avec une précision convaincante, mais ils sont conçus pour voler les identifiants et vider les comptes CCP. En novembre 2024, Algérie Poste a rappelé à ses clients que « les seules applications officielles sont BaridiMob et ECCP » et que tout téléchargement en dehors du Google Play Store ou de l’Apple App Store « expose les utilisateurs à des risques graves ».

Il ne s’agit pas d’une préoccupation théorique. C’est la réalité documentée de l’écosystème financier algérien en pleine numérisation. Alors que BaridiMob a dépassé les 13 millions de téléchargements sur Google Play et que l’adoption des cartes CIB s’est étendue à l’ensemble du secteur bancaire, le pays est devenu une cible de grande valeur pour les opérateurs de chevaux de Troie bancaires et de logiciels malveillants mobiles qui ont perfectionné leurs techniques sur des dizaines de marchés.

Le paysage des applications financières algériennes

L’écosystème financier mobile de l’Algérie s’est développé à un rythme que peu avaient prédit. BaridiMob, l’application de banque mobile pour les comptes CCP d’Algérie Poste, est devenue l’outil de paiement numérique le plus utilisé dans le pays. Fin 2024, l’application comptait environ 4,7 millions d’utilisateurs actifs, contre 3,4 millions fin 2023. En décembre 2024 seul, BaridiMob a traité 3,5 millions de virements de compte à compte totalisant 46 milliards de dinars, plus 5,5 millions d’opérations d’achat en ligne d’une valeur de 4 milliards de dinars. Une nouvelle version lancée en janvier 2026 introduit les cartes virtuelles et les terminaux de paiement virtuels pour accélérer les transactions numériques.

L’écosystème CIB (Carte Interbancaire), géré par SATIM (Société d’Automatisation des Transactions Interbancaires et de Monétique), relie le secteur bancaire algérien grâce aux paiements par carte interopérables. Fondée en 1995, SATIM compte désormais 19 membres comprenant 18 banques et Algérie Poste, avec plus de 3,5 millions de cartes de débit CIB émises, plus de 1 351 distributeurs automatiques et 36 000 terminaux de paiement électronique. Chaque banque participante propose sa propre application mobile, et la plateforme CIBWeb traite la majorité des paiements en ligne par carte.

Au-delà de la banque traditionnelle, l’écosystème fintech algérien se développe. Des startups comme ALPAY, Slick-PAY et epay.dz investissent le secteur des paiements. TemTem exploite une super application logistique combinant VTC et livraison dans 21 des 48 wilayas d’Algérie. Le secteur du e-commerce, bien qu’encore dépendant du paiement à la livraison, intègre progressivement les paiements numériques.

Cette combinaison de millions d’utilisateurs, d’applications financières adoptées rapidement, d’une sensibilisation limitée à la cybersécurité et d’un cadre réglementaire naissant crée ce que les analystes en renseignement sur les menaces décrivent comme un environnement riche en cibles.

Comment fonctionnent les chevaux de Troie bancaires

Les chevaux de Troie bancaires sont une catégorie de logiciels malveillants spécifiquement conçus pour voler les identifiants financiers et intercepter les transactions. Comprendre leurs mécanismes est essentiel pour les reconnaître et s’en protéger.

Attaques par superposition (overlay)

La technique la plus courante utilisée par les chevaux de Troie bancaires modernes est l’attaque par superposition :

1. L’utilisateur installe une application malveillante, soit une fausse version d’une application bancaire, soit un utilitaire apparemment inoffensif (lampe torche, gestionnaire de fichiers, lecteur PDF) contenant du code trojan dissimulé.
2. Le cheval de Troie enregistre un service d’accessibilité sur Android, ce qui lui donne la permission de surveiller les applications en cours d’exécution au premier plan.
3. Lorsque l’utilisateur ouvre une application bancaire légitime comme BaridiMob ou une application bancaire CIB, le cheval de Troie affiche immédiatement un faux écran de connexion (la « superposition ») par-dessus l’application réelle.
4. L’utilisateur, croyant interagir avec sa véritable application bancaire, saisit son nom d’utilisateur, son mot de passe et son OTP.
5. Le cheval de Troie capture ces identifiants et les transmet à un serveur de commande et contrôle (C2) contrôlé par les attaquants.
6. Simultanément, le cheval de Troie peut intercepter les SMS entrants pour capturer les OTP, contournant ainsi efficacement l’authentification à deux facteurs.

Cette technique est d’une efficacité redoutable car la superposition est visuellement indiscernable de l’application réelle. L’utilisateur n’a aucune indication visible que quelque chose ne va pas.

Enregistrement de frappe et capture d’écran

Certains chevaux de Troie vont au-delà des attaques par superposition pour capturer chaque frappe au clavier et enregistrer l’activité de l’écran. Cela permet de capturer non seulement les identifiants bancaires, mais aussi le contenu des messages, les mots de passe de messagerie et toute autre information sensible saisie sur l’appareil.

Chevaux de Troie d’accès à distance (RAT)

Les familles de malware bancaire avancées incluent des fonctionnalités RAT, permettant aux attaquants de contrôler à distance l’appareil infecté. Cela signifie qu’ils peuvent initier des transactions directement depuis le téléphone de la victime, faisant apparaître l’activité comme provenant de l’appareil et de l’adresse IP de l’utilisateur légitime, contournant ainsi de nombreux systèmes de détection de fraude.

Familles de malware mondiales qui menacent l’Algérie

Les chevaux de Troie bancaires ne sont pas développés de zéro pour chaque nouveau marché. Au lieu de cela, des familles de malware sophistiquées, souvent vendues sous forme de malware en tant que service (MaaS) sur des forums clandestins, sont configurées avec des superpositions pour des applications bancaires spécifiques dans les pays ciblés.

Anatsa (TeaBot)

Anatsa est l’un des chevaux de Troie bancaires les plus actifs ciblant les utilisateurs Android dans le monde. Identifié pour la première fois vers 2020, il a été continuellement mis à jour et cible désormais plus de 800 institutions financières dans le monde, contre environ 650 dans les versions antérieures. Mi-2025, une fausse application utilitaire PDF transportant Anatsa a infecté 90 000 utilisateurs directement via le Google Play Store, démontrant la capacité du cheval de Troie à échapper aux analyses de sécurité de Google grâce à une livraison de charge utile par étapes : l’application initiale est propre, et le code malveillant se télécharge ultérieurement sous forme de « mise à jour ». La conception modulaire d’Anatsa signifie que l’ajout de superpositions pour les applications bancaires algériennes ne nécessite que des modifications de configuration, pas de réécriture du code.

Cerberus et ses dérivés

Cerberus était un cheval de Troie bancaire de premier plan dont le code source a été divulgué sur des forums clandestins en septembre 2020. La fuite a engendré plusieurs familles de variantes dont Alien (2020), ERMAC (2021, ciblant plus de 450 applications) et Phoenix (début 2024). En septembre et octobre 2024, la campagne « ErrorFather » a déployé 15 variantes de Cerberus simultanément. En août 2025, le code source d’ERMAC V3.0 a également été divulgué publiquement. Bien que Cerberus lui-même ne soit plus activement maintenu, ses descendants continuent d’opérer et le code divulgué a considérablement abaissé la barrière à l’entrée pour les acteurs de menace moins sophistiqués.

Hook

Hook est un cheval de Troie bancaire annoncé en janvier 2023 par « DukeEugene », le même acteur de menace derrière ERMAC. Il ajoute des capacités de type VNC, permettant aux attaquants de contrôler l’appareil infecté en temps réel. Hook Version 3, observé en 2025, a élargi son jeu de commandes à 107 (dont 38 nouvelles commandes) avec des capacités comme la diffusion furtive d’écran et le détournement de session. Le code source complet de Hook a été divulgué en octobre 2023, déclenchant un déploiement généralisé. Le malware est distribué via des sites de phishing et des plateformes comme GitHub.

Hydra et Medusa

Hydra est actif depuis 2018, ciblant initialement le secteur bancaire turc avant de s’étendre aux institutions européennes. Medusa a refait surface mi-2024 avec une nouvelle variante ciblant les banques en France, en Italie, aux États-Unis, au Canada, en Espagne, au Royaume-Uni et en Turquie. Tous deux prennent en charge le vol d’identifiants par superposition et se distribuent via des campagnes de phishing par SMS et de faux app stores, des techniques particulièrement efficaces sur les marchés où le sideloading d’APK reste courant.

Canaux de distribution en Algérie

Les méthodes de distribution utilisées pour déployer les chevaux de Troie bancaires en Algérie exploitent les caractéristiques spécifiques de l’écosystème numérique local.

Groupes Facebook et réseaux sociaux

L’Algérie comptait 25,6 millions d’utilisateurs Facebook début 2025, représentant 54,2 % de la population totale et 83,5 % des adultes de 18 ans et plus. Les groupes Facebook, en particulier ceux axés sur la technologie, les astuces financières ou les « bons plans », sont utilisés pour distribuer des APK malveillants déguisés en versions premium d’applications, en applications piratées ou en applications bancaires « mises à jour ». Des publications affirmant « Nouvelle version BaridiMob avec fonction de transfert instantané, téléchargez ici » attirent des utilisateurs qui ne vérifient pas forcément la source.

Ces publications utilisent souvent des tactiques d’urgence : « Mettez à jour maintenant avant que votre compte ne soit bloqué », « Nouvelle mise à jour de sécurité requise par Algérie Poste » ou « Fonctionnalités premium gratuites pour une durée limitée ». Algérie Poste a spécifiquement mis en garde contre de telles publications, confirmant que les versions contrefaites distribuées sur les réseaux sociaux « peuvent ouvrir la voie à des intrusions dans les comptes bancaires et au vol de données personnelles sensibles ».

Chaînes Telegram

La modération de contenu relativement permissive de Telegram et sa prise en charge du partage de fichiers volumineux en font une plateforme pratique de distribution de malware. Les chaînes proposant des applications piratées, des jeux modifiés et des utilitaires « premium » intègrent fréquemment des chevaux de Troie bancaires dans leurs offres. Les utilisateurs qui installent des applications depuis ces chaînes contournent toutes les couches de sécurité des app stores.

Hameçonnage par SMS (Smishing)

Les campagnes de smishing envoient des messages SMS usurpant l’identité d’Algérie Poste, de banques ou d’opérateurs télécom. Les variantes courantes documentées en Algérie incluent des messages tels que :

• « Votre compte BaridiMob a été suspendu. Vérifiez ici : [URL malveillante] »
• « Confirmez le renouvellement de votre carte CIB : [URL malveillante] »
• « Vous avez un virement en attente de 50 000 DZD. Acceptez ici : [URL malveillante] »

Algérie Poste a confirmé que « ALG Poste » est le seul identifiant d’expéditeur SMS légitime et a exhorté les clients à ne jamais cliquer sur les liens dans les messages texte. Certains escrocs se font également passer pour du personnel d’Algérie Poste par téléphone, demandant des codes secrets ou des photographies de cartes Edahabia pour « activer » les comptes.

Faux app stores et hébergement d’APK

Les sites tiers d’hébergement d’APK hébergent parfois des versions modifiées des applications bancaires algériennes légitimes. Si les principaux stores tiers disposent de certaines analyses, les plus petits services d’hébergement n’en ont pas. Les utilisateurs algériens qui rencontrent des restrictions du Play Store ou des problèmes de compatibilité d’appareils se tournent parfois vers des sources non officielles, augmentant significativement leur exposition aux malwares.

Exploitation des QR codes

À mesure que les commerçants algériens commencent à adopter les paiements par QR code, les attaquants peuvent déployer des QR codes malveillants qui redirigent vers des sites de phishing ou déclenchent des téléchargements d’applications malveillantes. Un autocollant placé sur le QR code légitime d’un commerçant peut rediriger tous les clients qui le scannent vers une page de collecte d’identifiants.

L’ampleur du problème

Quantifier l’impact exact des chevaux de Troie bancaires en Algérie est difficile en raison des exigences limitées de divulgation publique. Cependant, plusieurs indicateurs confirment que la menace est significative et croissante :

• Volume de cyberattaques : Kaspersky a enregistré plus de 70 millions de cyberattaques ciblant l’Algérie en 2024, plaçant le pays au 17e rang mondial des nations les plus ciblées. Plus de 13 millions de tentatives de phishing et près de 750 000 pièces jointes malveillantes par e-mail ont été bloquées durant la même période.
• Menaces mobiles en Afrique : L’Afrique présente le taux le plus élevé d’attaques par malware mobile au monde, avec 41 % des utilisateurs confrontés à des menaces malveillantes selon Kaspersky. L’Algérie représentait 16 % des applications potentiellement indésirables détectées ciblant les entreprises en Afrique.
• Explosion mondiale des chevaux de Troie bancaires : Kaspersky a détecté 255 090 nouveaux packages d’installation de chevaux de Troie bancaires en 2025, soit une augmentation de plusieurs ordres de grandeur par rapport aux années précédentes. La famille Mamont représentait à elle seule près de la moitié de toutes les attaques par cheval de Troie bancaire.
• Évaluation d’INTERPOL : Le rapport d’évaluation des cybermenaces en Afrique 2025 d’INTERPOL avertit que les cybercriminels ont « intensifié le ciblage des plateformes mobiles, en particulier dans les pays où les services de banque mobile sont en croissance ». Deux tiers des pays membres africains d’INTERPOL signalent des crimes liés au cyber à des niveaux moyens à élevés.
• Écart de maturité institutionnelle : L’Algérie reste au stade « en cours d’établissement » (Tier 3) dans l’Indice mondial de cybersécurité 2024 de l’UIT. Seuls 30 % des pays africains disposent d’un système de signalement des incidents, 29 % d’un dépôt de preuves numériques et seulement 19 % d’une base de données de renseignement sur les cybermenaces.

Comment les banques et les régulateurs devraient réagir

Pour les institutions financières

Déployer la protection applicative en temps d’exécution (RASP). La technologie RASP intégrée dans l’application bancaire peut détecter et bloquer les attaques par superposition, l’enregistrement d’écran, l’enregistrement de frappe et la falsification d’appareil en temps réel. Des solutions de fournisseurs comme Promon, Guardsquare et Zimperium sont spécifiquement conçues pour la protection des services bancaires mobiles.

Mettre en œuvre la liaison et l’empreinte d’appareil. Associez le compte de chaque utilisateur à un appareil spécifique. Si une connexion est tentée depuis un appareil non reconnu, exigez des étapes de vérification supplémentaires. Cela empêche l’utilisation des identifiants volés sur des appareils contrôlés par les attaquants.

Dépasser le SMS OTP. Bien que pratiques, les mots de passe à usage unique par SMS sont interceptables par les chevaux de Troie disposant de permissions du service d’accessibilité. Passez aux notifications push intégrées à l’application pour la confirmation des transactions, ou mettez en œuvre le TOTP (mot de passe à usage unique basé sur le temps) via l’application bancaire elle-même.

Déployer la biométrie comportementale. Les systèmes modernes de détection de fraude analysent la manière dont les utilisateurs interagissent avec leur téléphone, y compris les schémas de frappe, la dynamique de balayage et l’angle de tenue de l’appareil. Ces signaux comportementaux sont quasi impossibles à répliquer par un malware et peuvent signaler une activité suspecte même lorsque les identifiants sont corrects.

Mettre en œuvre la détection d’anomalies transactionnelles. Les modèles d’apprentissage automatique entraînés sur les schémas de transaction typiques de chaque utilisateur (montants, horaires, bénéficiaires) peuvent signaler une activité inhabituelle pour une vérification supplémentaire. Un utilisateur qui transfère habituellement 5 000 DZD initiant soudainement un virement de 500 000 DZD vers un compte inconnu devrait déclencher une alerte.

Mener des opérations de suppression. Surveillez activement Facebook, Telegram et les app stores tiers à la recherche de fausses applications usurpant votre marque. Travaillez avec les plateformes pour supprimer le contenu malveillant et avec les hébergeurs pour démanteler l’infrastructure de phishing.

Pour les régulateurs

Imposer des normes de sécurité pour les applications financières. La Banque d’Algérie et SATIM devraient établir des exigences minimales de sécurité pour toutes les applications qui traitent des transactions financières, en s’inspirant des directives PCI DSS pour les paiements mobiles et du cadre de sécurité des services financiers mobiles de la GSMA.

Accélérer la mise en œuvre de la stratégie de cybersécurité. La Stratégie nationale de cybersécurité 2025-2029 de l’Algérie, approuvée par le décret présidentiel 25-321 du 30 décembre 2025, comprend des dispositions pour la protection des secteurs critiques dont la finance. Le cadre opérationnel établi par le décret présidentiel 26-07 (7 janvier 2026) imposant des unités de cybersécurité dans l’ensemble du gouvernement doit s’étendre aux institutions du secteur financier.

Établir un CERT du secteur financier. Une équipe de réponse aux incidents informatiques dédiée au secteur financier algérien coordonnerait le partage de renseignements sur les menaces entre les banques, surveillerait les menaces émergentes et fournirait un soutien à la réponse aux incidents. Les communautés de partage sectorielles hébergées par le CERIST pour la banque, l’énergie et les télécommunications devraient être prioritaires.

Renforcer les exigences de notification de violation. Lorsque les applications financières subissent des violations de données ou lorsque des campagnes de vol d’identifiants sont détectées, les utilisateurs affectés doivent être informés rapidement. Des délais de notification obligatoires clairs pour le secteur financier sont essentiels.

Financer la recherche en cybersécurité. Soutenir la recherche académique et indépendante en sécurité sur les applications financières algériennes. Établir des protections juridiques pour les chercheurs qui divulguent des vulnérabilités de manière responsable.

Ce que les utilisateurs doivent faire pour se protéger

Étapes essentielles

1. Ne jamais installer d’applications bancaires en dehors de l’app store officiel. Ne téléchargez BaridiMob, les applications bancaires et les services financiers que depuis le Google Play Store ou l’Apple App Store. Aucune exception, quoi que dise une publication Facebook ou un SMS.

1. Vérifier le développeur. Sur Google Play, vérifiez que le développeur indiqué est l’institution officielle (par exemple, « ALGERIE POSTE » pour BaridiMob, le nom officiel de la banque pour les applications CIB). Vérifiez le nombre de téléchargements et les avis.

1. Ne pas accorder les permissions du service d’accessibilité aux applications inconnues. Si une application qui n’est pas un outil d’accessibilité légitime (lecteur d’écran, etc.) demande des permissions d’accessibilité, refusez-la immédiatement. C’est la permission la plus critique dont abusent les chevaux de Troie bancaires.

1. Être profondément méfiant vis-à-vis des liens SMS. Votre banque ne vous enverra jamais un lien pour télécharger une mise à jour d’application ou vérifier votre compte par SMS. Algérie Poste a confirmé que « ALG Poste » est le seul expéditeur SMS légitime. Si vous recevez un message suspect, supprimez-le. Ouvrez l’application officielle directement depuis votre écran d’accueil.

1. Maintenir votre appareil à jour. Les correctifs de sécurité Android corrigent les vulnérabilités exploitées par les malwares. Activez les mises à jour automatiques du système.

1. Utiliser Google Play Protect. Assurez-vous que Play Protect est activé (Paramètres > Google > Sécurité > Google Play Protect) et effectuez des analyses périodiques.

1. Surveiller les transactions. Vérifiez régulièrement les soldes de vos comptes BaridiMob et bancaire. Signalez immédiatement toute transaction non autorisée à Algérie Poste ou à votre banque.

En cas de suspicion d’infection

1. N’ouvrez aucune application bancaire. Tant que le malware n’est pas supprimé, tout identifiant que vous saisissez peut être capturé.
2. Démarrez en mode sans échec. Sur la plupart des appareils Android, maintenez le bouton d’alimentation, puis appuyez longuement sur « Éteindre » pour démarrer en mode sans échec, qui désactive les applications tierces.
3. Désinstallez les applications suspectes. Supprimez toute application que vous avez installée récemment depuis des sources non officielles.
4. Changez tous vos mots de passe depuis un autre appareil, non compromis.
5. Contactez votre banque et Algérie Poste pour signaler la compromission et demander un gel temporaire du compte.
6. Réinitialisez votre appareil aux paramètres d’usine si vous ne pouvez pas identifier et supprimer le malware. C’est le moyen le plus fiable d’éliminer un malware profondément enraciné.

La vision d’ensemble

Les chevaux de Troie bancaires ciblant l’Algérie ne sont pas l’œuvre de hackers isolés. Ce sont les produits d’un écosystème de cybercriminalité organisé où développeurs de malware, distributeurs, mules financières et spécialistes de l’encaissement collaborent dans des opérations sophistiquées. L’évaluation des cybermenaces en Afrique d’INTERPOL confirme que les cybercriminels suivent l’argent, et à mesure que les volumes de paiements numériques de l’Algérie augmentent, leur attention s’intensifie.

La défense du pays doit être tout aussi organisée. Les banques doivent investir dans la sécurité au niveau applicatif. Les régulateurs doivent mettre en œuvre les dispositions de la Stratégie nationale de cybersécurité relatives au secteur financier. Les forces de l’ordre doivent développer des capacités de criminalistique numérique. Et les utilisateurs doivent développer le scepticisme et la culture numérique nécessaires pour reconnaître les menaces avant qu’elles ne frappent.

La transformation financière numérique de l’Algérie est irréversible et majoritairement positive. Mais sans un investissement proportionnel en matière de sécurité, la même commodité qui rend BaridiMob transformateur peut devenir le vecteur par lequel des millions d’Algériens sont victimes de fraude financière.

Questions fréquemment posées

Sources et lectures complémentaires

• Algérie Poste Warns Against Fake BaridiMob Application — Algerie360
• Algérie Poste Warns Against Fraudulent SMS and Fake Pages — Econostrum
• Anatsa Banking Trojan Hits 90,000 Users via Fake PDF App — The Hacker News
• Hook Version 3: Banking Trojan with Advanced Capabilities — Zimperium
• Cerberus RAT: Android Malware’s Dark Legacy in 2025 — Prey Project
• INTERPOL Warns of Sharp Rise in Cybercrime in Africa — INTERPOL
• The Mobile Threat Landscape in 2025 — Kaspersky Securelist
• Algeria Adopts 2025-2029 National Cybersecurity Strategy — We Are Tech Africa
• OWASP Mobile Top 10 — OWASP Foundation
• Algeria’s Payment Rails and SATIM — Transfi