455 apps infectées, 24 millions de téléchargements : Android compromis.

L’opération « Trapdoor », mise au jour le 19 mai 2026, a exposé 455 applications malveillantes cumulant 24 millions de téléchargements via le Play Store officiel. Google a réagi en supprimant ces applications et en mettant à jour Play Protect pour bloquer les comportements associés.

Votre téléphone Android vous appartient-il vraiment ? Ce n’est pas si sûr. Pendant que vous lisez cet article, plusieurs centaines d’applications installées sur des millions d’appareils ouvrent des pages web invisibles, simulent des clics publicitaires et utilisent votre batterie, vos données mobiles et potentiellement vos informations personnelles.

L’opération « Trapdoor », révélée le 19 mai 2026 par l’équipe Satori de HUMAN Security, a identifié 455 applications malveillantes totalisant 24 millions de téléchargements via le Play Store officiel, entraînant jusqu’à 659 millions de requêtes publicitaires frauduleuses par jour.

Google a réagi en retirant ces applications et en mettant à jour Play Protect pour bloquer les comportements associés. Cependant, si vous avez installé l’une de ces applications avant cette suppression, elle demeure toujours active sur votre appareil.

Comment l’opération Trapdoor a infecté 24 millions d’appareils Android

Les hackers proposaient des utilitaires apparemment inoffensifs : lecteurs PDF, nettoyeurs de mémoire, gestionnaires de fichiers. L’application fonctionnait correctement pendant quelques jours, suffisamment pour instaurer la confiance. Une notification apparaissait alors, invitant à une « mise à jour » pour améliorer l’expérience. En acceptant, l’utilisateur installait en fait une seconde application malveillante, invisibile, qui ouvrait des pages web en arrière-plan et simulait des clics publicitaires à son insu.

La ruse de Trapdoor réside dans son système d’évitement. Les pirates utilisaient les outils d’attribution marketing (ces SDK qui aident normalement les annonceurs à savoir si un utilisateur a installé leur application via une publicité ou directement) : si l’installation était effectuée directement depuis le Play Store, typiquement le cas d’un chercheur en sécurité, le malware restait inactif. La fraude ne s’activait que sur les appareils ayant installé l’application par le biais d’une publicité payante du groupe. En somme, plusieurs mois de discrétion avant la détection. Pour l’utilisateur, les conséquences sont une batterie qui se décharge anormalement vite, un téléphone qui fonctionne lentement sans raison apparente et une consommation de données mobiles inexpliquée.

Heureusement, HUMAN Security a rendu publique la liste complète des 455 applications concernées dans son rapport. La première chose à faire est de consulter cette liste et de désinstaller toute application qui y figure encore sur votre téléphone. Une bonne nouvelle : quelques réflexes peuvent limiter les dommages. Si une application vous a déjà demandé d’installer une mise à jour en dehors du Play Store, désinstallez-la immédiatement. Les mises à jour légitimes se font exclusivement via l’onglet « Gérer les applications » du Play Store, et jamais par une fenêtre pop-up dans l’application elle-même.

Pour agir rapidement, consultez la liste publiée par HUMAN Security et comparez-la avec vos applications installées (Paramètres → Applications → Toutes les applications). Toute correspondance, même partielle sur le nom du paquet, justifie une désinstallation immédiate. Google Play Protect bloque désormais automatiquement les comportements liés à Trapdoor, mais l’application reste sur votre appareil tant que vous ne l’avez pas supprimée vous-même.

Pour aller plus loin
Comment sécuriser votre smartphone, votre tablette ou votre PC ? Le guide ultime !

Au-delà de Trapdoor, Android dispose d’outils natifs souvent ignorés pour reprendre le contrôle sur les permissions. Le Tableau de bord de confidentialité (Paramètres → Confidentialité → Tableau de bord) affiche toutes les applications ayant accédé à votre micro, caméra ou localisation au cours des dernières 24 heures : un accès inhabituel est un signal d’alarme immédiat. L’Espace privé isole vos applications sensibles derrière un code distinct, et le verrouillage antivol détecte les mouvements brusques pour verrouiller l’écran instantanément. Ces fonctions sont intégrées au système, à condition de les rechercher dans les Paramètres.