Comme un fantôme, le hacker est capable d’utiliser les touches d’un smartphone ou d’une tablette, puis de le contrôler à distance pour effectuer des transactions à l’insu de l’utilisateur. Voici comment ça marche et comment éviter d’être victime de cette cyberattaque.
Le Ghost Tapping, comment ça marche ?
Contrairement à ce que l’on pourrait penser, le Ghost Tapping n’est pas une manipulation magique, et il ne repose pas sur une faille des écrans tactiles ni sur une technologie permettant aux hackers “d’appuyer à distance” sur l’écran d’un smartphone. C’est avant tout une attaque basée sur des logiciels malveillants installés sur le smartphone. Dans la pratique, il y a presque toujours une installation préalable d’un logiciel malveillant sur le téléphone de la victime. Après avoir infiltré l’appareil, ce logiciel va simuler des manipulations humaines dans le but de voler des informations ou d’effectuer des transactions. Le “tapotement fantôme” est donc entièrement virtuel, et simulé pour paraître celui d’un humain. Il est donc difficile à détecter par les programmes de détection de fraudes.
Très souvent, l’attaque débute par un SMS, un e-mail ou un message sur les réseaux sociaux. Celui-ci contient généralement un lien qui va installer un programme malveillant sur l’appareil. Pour inciter à cliquer sur ce lien frauduleux, les cybercriminels usurpent souvent l’identité d’un service de livraison, d’une banque ou d’un organisme officiel. Ce lien conduit ensuite à l’installation d’un cheval de Troie. Une fois installé, le programme peut obtenir des permissions élevées, parfois en abusant des fonctions d’accessibilité du système.
Une pratique de plus en plus courante
D’après LexisNexis Risk Solutions, une entreprise internationale spécialisée dans les données, l’analyse de risques et l’information professionnelle, le ghost tapping s’inscrit dans une tendance croissante observée ces dernières années.
Dans son rapport annuel sur la cybercriminalité publié en 2025, LexisNexis Risk Solutions souligne une augmentation significative des attaques de type Account Takeover (ATO), en particulier sur les canaux mobiles. L’entreprise observe que ces attaques reposent de plus en plus sur des actions initiées depuis des appareils compromis, où les hackers sont capables de reproduire un comportement proche de celui d’un utilisateur légitime.
Herodotus : le malware Android qui prend contrôle des smartphones
Herodotus fait partie de ces logiciels malveillants capables de simuler de la saisie de données, principalement dans le but de dérober des identifiants bancaires. Tout d’abord, le programme se fraye un chemin dans le smartphone via un SMS frauduleux. Ensuite, il affiche un message trompeur du genre “Activez l’accessibilité pour continuer” ou simule une alerte système urgente.
La victime, croyant corriger un problème légitime, coche l’option et donne sans le savoir un grand nombre d’autorisations à Herodotus. Le malware va profiter d’un contrôle quasi-total : interception d’écran, simulation de gestes (taps, balayages d’écran), saisie de texte, et actions système (Home, Back). Ce n’est qu’après avoir reçu cette autorisation que le programme va faire apparaître un faux écran d’attente afin d’empêcher la victime de voir les actions effectuées en arrière-plan. Pendant ces quelques secondes, le malware débloque toutes les autorisations et scanne les applis pour détecter les applis bancaires.
Lors du prochain accès de la victime à son appli bancaire, Herodotus affiche un écran de phishing qui reproduit parfaitement l’écran de connexion de cette banque spécifique, et vole les identifiants et par conséquent l’accès au compte.
Les attaques de type ghost tapping ont fait beaucoup de dégâts sur Android, mais de leur côté, les propriétaires d’iPhones sont plus en sécurité. En effet, Apple limite fortement l’accès au tactile, les permissions système ou encore l’exécution en arrière-plan.
Ne pas confondre avec le Ghost Tap NFC : la fraude par relais de paiement sans contact
Il ne faut pas confondre le Ghost Tapping tactile avec le Ghost Tap NFC, une technique de fraude totalement différente qui cible les paiements sans contact. Cette méthode exploite la technologie NFC et s’attaque à la fois aux utilisateurs Android et iOS via Google Pay et Apple Pay.
Le Ghost Tap NFC repose sur un relais du signal NFC entre deux appareils distants. Concrètement, les cybercriminels parviennent d’abord à lier une carte bancaire volée à un service de paiement mobile sur leur propre téléphone. Ensuite, ils utilisent des complices équipés d’un second appareil pour effectuer des achats dans des magasins physiques, parfois à des centaines de kilomètres de distance.
Les données de carte bancaire volées sont généralement obtenues par hameçonnage ou via des logiciels malveillants qui interceptent les codes de validation nécessaires pour associer la carte à Apple Pay ou Google Pay. Les deux smartphones sont équipés d’une application de relais NFC comme NFCGate, un outil initialement conçu pour la recherche en sécurité mais détourné à des fins criminelles. Un serveur intermédiaire permet la communication entre le téléphone contenant la carte volée et celui utilisé en magasin pour effectuer le paiement.
Lorsque le complice approche son téléphone du terminal de paiement, le signal NFC est relayé en temps réel vers le téléphone du fraudeur qui détient la carte enregistrée. Le terminal reçoit alors une réponse valide et autorise la transaction, sans détecter qu’elle provient en réalité d’un autre endroit.
Comment se protéger ?
Pour éviter ce type d’attaque, adoptez ces quelques réflexes simples : ne cliquez jamais sur les liens reçus par SMS ou e-mail, même s’ils semblent provenir de votre banque ou d’une entreprise que vous jugez fiable. Téléchargez uniquement vos applications depuis les stores officiels (Google Play, App Store), et vérifiez régulièrement les autorisations accordées à vos applications, en particulier celles liées à l’accessibilité. Enfin, n’oubliez pas de surveiller vos comptes bancaires et d’activer les notifications pour rester informé de chaque transaction.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
