En Israël, les applications mobiles complètent depuis plusieurs années les sirènes diffusées à travers le territoire pour prévenir la population en cas de tirs de roquettes.
Parmi elles, l’app Red Alert ou « Tseva Adom » en hébreu, est devenue une solution incontournable pour recevoir des notifications en temps réel dès qu’une attaque est détectée. Elle compte des millions de téléchargements.
Dans le récent contexte d’attaque militaire en Iran, chaque alerte est scrutée avec une anxiété particulière. C’est précisément cette crainte d’une riposte imminente que des acteurs malveillants ont choisi d’exploiter, comme le révèle le rapport d’Acronis, partagé début mars, qui retrace la diffusion d’un logiciel espion dissimulé dans une fausse mise à jour de l’application.
Et ce n’est pas la première fois que ça arrive.
Une campagne qui mise sur le contexte de peur
Les premiers signes de cette campagne de « smishing » (comprenez phishing par SMS) datent du 1er mars 2026, soit le lendemain de l’annonce de l’opération militaire conjointe entre Israël et les États-Unis.
Les messages usurpent l’identité officielle du Commandement du front intérieur israélien et invitent leurs destinataires à télécharger une « mise à jour critique » de Red Alert, via un lien raccourci.
Le fichier téléchargé est une copie quasi parfaite de l’application légitime. Elle fonctionne normalement, diffuse de vraies alertes, mais en arrière-plan, un spyware s’active silencieusement.
Pour les personnes ciblées, un indice aurait pu mettre la puce à l’oreille. L’application réclame 20 autorisations à l’installation, dont 6 hautement sensibles : accès aux SMS, aux contacts, à la géolocalisation précise, aux comptes du téléphone, possibilité de se relancer au démarrage, et affichage par superposition sur les autres applis, une technique régulièrement employée pour voler des identifiants bancaires.
Android trompé par l’application
Selon les conclusions des chercheurs, cette campagne est menée à l’aveugle sur d’innombrables numéros israéliens, sans cible particulière.
Pour ne pas éveiller les soupçons côté système, le code intègre également une technique de falsification de signature numérique qui fait croire à Android que l’application provient du Google Play Store.
Une fois collectées, les données sont exfiltrées vers un serveur distant, dont l’adresse est chiffrée dans le code de l’appli.
Des mesures de brouillage qui compliquent l’identification claire du commanditaire. Acronis pointe tout de même du doigt le groupe Arid Viper, également connu sous le nom APT-C-23, une entité liée aux services de renseignement du Hamas, réputée pour ses campagnes d’espionnage cybre contre Israël et les territoires palestiniens occupés.
Les chercheurs s’appuient sur la combinaison de trois éléments : l’utilisation d’une application Android piégée, le ciblage exclusif d’Israéliens, et des fonctionnalités de spyware cohérentes avec les opérations passées de ce groupe. Ils restent néanmoins prudents, rappelant que ces caractéristiques ne sont pas propres à Arid Viper seul.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !