Arnaque PDF sur Android : de fausses fenêtres contextuelles « Mettre à jour l’application PDF » inondent les téléphones d’applications indésirables (28 nov. 2025)

Les publicités trompeuses sur Android et les lecteurs PDF indésirables sont de retour sous les projecteurs — et les experts affirment qu’ils font partie d’un problème de sécurité bien plus vaste sur Google Play.

Un papa, un PDF récalcitrant – et quatre applications aléatoires

Plus tôt dans la journée, Android Authority a publié un article qui illustre parfaitement à quel point Android peut être déroutant et risqué pour les utilisateurs non techniques. 1

L’article décrit une situation assez normale :

• Un papa avec un téléphone HONOR de milieu de gamme essaie d’ouvrir un PDF.
• Son téléphone dispose déjà d’une suite bureautique intégrée qui prend en charge les PDF (WPS Office).
• Le fichier refuse de s’ouvrir, alors il fait ce que beaucoup de gens feraient : il commence à installer des applications PDF supplémentaires depuis le Google Play Store.
• En peu de temps, son téléphone est rempli de lecteurs PDF aléatoires qui se ressemblent tous et ne résolvent pas le problème.

La surprise ? Il ne cherchait pas activement des alternatives sur le Play Store. À la place, chaque tentative d’ouverture du fichier affichait un message ressemblant à une boîte de dialogue système :

« Impossible de lire le fichier. Essayez de mettre à jour votre application PDF. »

Un gros bouton « Mettre à jour maintenant » apparaissait en dessous. En appuyant dessus, il était redirigé vers une nouvelle application PDF sur le Play Store. Installation. Nouvel essai. Même erreur. Nouvelle pub. Nouvelle appli. Et ainsi de suite. 1

Finalement, son enfant (journaliste Android) a découvert la vérité :

• Le « message d’erreur » était une publicité affichée par l’écran d’accueil de WPS Office, déguisée pour ressembler à une alerte système.
• Désinstaller WPS Office — et donc supprimer cette surface publicitaire — a permis d’ouvrir à nouveau les PDF normalement. 1

Aucun mot de passe n’a été volé et aucune application bancaire n’a été détournée. Mais c’est surtout une question de chance. Exactement la même astuce d’UX — une fausse invite « réparer » se faisant passer pour officielle — est également utilisée par des trojans bancaires et des campagnes de malwares à grande échelle en 2025.

Pourquoi ce n’est pas une « erreur utilisateur » – la publicité et la conception des applications Android poussent les gens à l’échec

Il est facile de hausser les épaules et de dire : « Il aurait dû savoir. » Mais la plupart des utilisateurs Android ne vivent pas sur des blogs de sécurité ou des chaînes Telegram.

Quelques réalités inconfortables :

• Les publicités peuvent ressembler à des messages système. Les propres règles publicitaires de Google stipulent que les développeurs ne doivent pas imiter les dialogues système, mais l’application de cette règle est inégale. Des publicités comme la “mise à jour” WPS PDF franchissent clairement la ligne et passent pourtant entre les mailles du filet. 1
• L’interface du Play Store habitue les gens à cliquer sur la mauvaise option. Lorsque vous atterrissez sur Google Play, les premiers résultats que vous voyez sont souvent des placements payants. Le badge “Annonce” est minuscule, et les annonces sponsorisées sont présentées presque exactement comme les vrais résultats. 2
• Le choix d’applications est écrasant et répétitif. Cherchez “ouvre PDF” ou “lecteur PDF” et vous verrez des pages d’applications presque identiques avec des noms génériques, des icônes similaires et des descriptions copiées-collées. Choisir la “bonne” devient un jeu de hasard. 2

Et les utilisateurs ont déjà du mal. La grande étude “Tap, Swipe, Scam” de Malwarebytes cette année a révélé que :

• 44 % des personnes rencontrent une arnaque mobile chaque jour, et
• seulement 15 % sont tout à fait d’accord pour dire qu’ils peuvent reconnaître une arnaque sur leur téléphone en toute confiance. 3

Ajoutez à cela des schémas d’interface utilisateur qui brouillent la frontière entre publicité et alerte système, et il n’est pas surprenant que quelqu’un appuie sur le gros bouton “Mettre à jour” brillant qui semble vouloir “l’aider”.

Le drame des pop-ups PDF d’aujourd’hui n’est que la partie émergée d’un problème bien plus vaste du Play Store

Le téléphone du père s’est retrouvé rempli d’applications PDF inutiles — agaçant, mais pas catastrophique. Les chercheurs en sécurité avertissent que ce même design et cet écosystème publicitaire poussent aussi les gens vers des applications malveillantes.

Début novembre, le rapport Zscaler 2025 Mobile, IoT & OT Threat Report a mis en lumière un problème sérieux du Play Store qui fait encore la une ce mois-ci : 4

• 239 applications Android malveillantes ont été trouvées sur Google Play.
• Ensemble, elles avaient été téléchargées environ 42 millions de fois entre juin 2024 et mai 2025.
• Les détections de malwares mobiles ont bondi de 67 % d’une année sur l’autre, avec l’adware, les spywares et les chevaux de Troie bancaires en tête.

Ces applications se font souvent passer pour :

• Outils PDF
• gestionnaires de fichiers ou de photos
• VPN ou utilitaires de « nettoyage »
• applications de messagerie ou de productivité

Si cela ressemble exactement au type d’utilitaires PDF que le père continuait d’installer, c’est le but. En 2025, la frontière entre « bloatware agaçant » et « vole votre argent » est mince — et vous ne pouvez pas la voir de façon fiable depuis l’écran de recherche du Play Store.

Les chercheurs de Malwarebytes ont documenté une vaste campagne de fraude publicitaire baptisée « SlopAds » en septembre dernier :

• 224 applications malveillantes sur Google Play
• Plus de 38 millions d’installations
• Jusqu’à 2,3 milliards de requêtes publicitaires par jour générées par les appareils infectés avant que Google ne les retire enfin. 5

Oui, Google supprime les mauvaises applications. Mais, comme l’a récemment résumé une analyse, le pipeline se « remplit continuellement » à nouveau avec de nouveaux clones et de nouvelles campagnes. 2

Des fausses mises à jour PDF aux chevaux de Troie bancaires

Le piège « mettez à jour votre application PDF » n’est pas qu’une nuisance. Il a déjà été utilisé comme arme par des malwares bancaires sérieux.

Anatsa : une fausse mise à jour PDF qui vole vos identifiants bancaires

Des chercheurs en sécurité chez ThreatFabric ont récemment documenté une campagne diffusant le cheval de Troie bancaire Anatsa via des applications sur le Google Play Store officiel :

• Le malware se faisait passer pour une « mise à jour PDF » ou un assistant de visualisation de documents.
• Une fois installé, il attendait que les victimes ouvrent leurs vraies applications bancaires.
• Il affichait alors une superposition plein écran prétendant que le service bancaire était en maintenance et demandant les identifiants de connexion.
• Ces identifiants étaient envoyés directement aux criminels, qui pouvaient alors vider les comptes à distance. 6

L’interface ne ressemble pas à une tête de mort monstrueuse. Elle ressemble à un message utile attaché au flux PDF ou bancaire — exactement le genre de design qui a trompé le père du rédacteur d’Android Authority.

N‑Gate : fausses invites de paiement sans contact dans la nature

• Les victimes sont incitées à installer ce qui semble être une application de paiement ou de vérification.
• Lorsqu’elles procèdent au paiement, elles voient un écran de faux paiement sans contact ou de « validation de carte ».
• La saisie de leur code PIN envoie ces informations à des criminels qui attendent aux distributeurs automatiques pour retirer de l’argent.

Encore une fois, l’astuce principale est identique : exploiter la confiance dans une interface ressemblant au système pour récolter des actions et données sensibles.

Ce que fait Google – et pourquoi ce n’est pas encore suffisant

Google n’ignore pas le problème. Entre 2024 et 2025, il :

• A mis en place une vérification plus stricte pour certains développeurs et régions.
• A promu Google Play Protect comme première ligne de défense pour signaler les applications connues comme malveillantes.
• A collaboré avec des partenaires pour supprimer des centaines d’applications malveillantes lors de grandes campagnes comme SlopAds. 4

Mais plusieurs problèmes restent évidents au 28 novembre 2025 :

1. Les publicités ressemblent encore trop à l’interface système.
   Les politiques de Google interdisent en principe les publicités qui imitent les notifications système, mais des exemples concrets — comme la « mise à jour » WPS PDF — violent clairement l’esprit de ces règles. 1
2. Le Play Store continue de récompenser les clones et les applications de faible qualité.
   Zscaler, Malwarebytes et d’autres découvrent régulièrement des utilitaires quasi identiques avec des différences fonctionnelles minimes, dont certains sont ensuite révélés comme frauduleux ou malveillants. Pourtant, ils prospèrent grâce aux publicités de recherche et aux algorithmes de recommandation. 4
3. Les utilisateurs occasionnels portent trop de responsabilités.
   Les recherches de Malwarebytes montrent que deux tiers des utilisateurs déclarent qu’il est difficile de distinguer les arnaques des messages légitimes, et seule une petite minorité se sent capable de repérer les arnaques. Malwarebytes
   Concevoir des systèmes qui partent du principe que les utilisateurs remarqueront les étiquettes « Pub » discrètes ou reconnaîtront les fausses alertes n’est pas réaliste.
4. Les bloatwares des fabricants continuent de créer de nouveaux espaces publicitaires.
   De nombreux téléphones, en particulier les modèles économiques, sont livrés avec des suites bureautiques tierces, des nettoyeurs, des navigateurs et des « boîtes à outils » qui monétisent de manière agressive avec des publicités interstitielles et des pop-ups. Ces surfaces sont des emplacements de choix pour des incitations trompeuses comme la fausse mise à jour PDF. 1

Le cas du père est bénin comparé à un véritable malware, mais c’est le même processus : publicités déroutantes → application « correctrice » aléatoire → exposition potentielle.

Comment éviter l’arnaque publicitaire PDF sur Android (et autres astuces similaires)

Voici une liste de vérification pratique à suivre dès aujourd’hui — et à partager avec des amis ou parents moins à l’aise avec la technologie.

1. Traitez les pop-ups de « mise à jour » dans les applications avec suspicion

Si vous voyez un message du type « Impossible de lire le fichier. Essayez de mettre à jour votre application PDF » avec un gros bouton dans une application :

• Supposez qu’il s’agit d’une publicité, pas d’une commande système.
• Fermez-la en utilisant le X ou le geste retour au lieu d’appuyer sur le bouton d’action.
• Si vous pensez vraiment que votre application a besoin d’une mise à jour, ouvrez vous-même Google Play, recherchez l’application par son nom et mettez-la à jour depuis là. 1

2. Privilégiez les applications PDF fiables et définissez-en une par défaut

Sur la plupart des téléphones Android, vous n’avez besoin que d’une bonne solution PDF :

• Le lecteur intégré dans Fichiers, Google Drive ou la suite bureautique native suffit souvent.
• Si vous souhaitez quelque chose de plus puissant, restez sur des options largement connues comme Adobe Acrobat Reader ou le lecteur officiel de votre fabricant — installé directement depuis Play avec le nom du développeur correct. 1

Ensuite :

• Définissez cette application comme votre lecteur PDF par défaut.
• Désinstallez ou désactivez toute suite bureautique préinstallée que vous ne comptez pas utiliser — surtout si elle vous inonde de publicités.

3. Rendez les publicités plus faciles à repérer

Quelques petites habitudes font une grande différence :

• Repérez les petites étiquettes comme « Annonce » ou « Sponsorisé » dans les résultats du Play Store avant d’appuyer.
• Méfiez-vous des invites qui apparaissent uniquement lors du chargement d’un écran d’accueil ou d’une bannière — les véritables dialogues système apparaissent généralement au centre de l’écran avec le style Android habituel.
• Si une invite utilise des polices étranges, des icônes qui ne correspondent pas, ou est associée à l’image de marque d’une application tierce spécifique, considérez-la comme non fiable jusqu’à preuve du contraire. 2

4. Utilisez les protections intégrées d’Android (et envisagez une couche de blocage des publicités)

Au minimum :

• Activez Google Play Protect dans le Play Store → Play Protect → Paramètres.
• Gardez les mises à jour système Android et les mises à jour système Google Play installées rapidement.

Pour plus de sécurité — en particulier sur les appareils de vos proches — envisagez :

• Utiliser DNS privé avec un fournisseur réputé pour bloquer de nombreux domaines publicitaires et de suivi au niveau du réseau.
• Une application de blocage des publicités à l’échelle du système ou un bloqueur basé sur DNS (par exemple, des outils applicatifs qui créent un VPN local et bloquent les hôtes publicitaires connus).
• Une application de sécurité mobile réputée d’un fournisseur bien connu pour l’analyse des malwares et le blocage d’URL. 1

5. Passez régulièrement en revue les applications et les autorisations

Une fois par mois (mettez un rappel dans votre calendrier si besoin) :

• Ouvrez Paramètres → Applications et désinstallez tout ce que vous ne reconnaissez pas ou n’utilisez plus.
• Vérifiez les autorisations des applications et révoquez l’accès à la caméra, au micro, aux SMS, à l’accessibilité ou aux données d’utilisation pour les applications qui n’en ont pas réellement besoin. 1

Cela réduit non seulement les risques de malware ; cela diminue aussi le “bruit” des applications inutiles qui peuvent afficher des invites déroutantes.

Comment configurer un téléphone Android plus sûr pour vos parents

Si vous êtes le “support informatique familial”, vous pouvez réduire considérablement les risques en 15 à 20 minutes :

1. Supprimez les bloatwares et les applications riches en publicités
   • Désinstallez ou désactivez les suites bureautiques préinstallées, les nettoyeurs, “boosters”, navigateurs aléatoires et applications d’outils inconnues. 1
2. Installez et épinglez quelques applications essentielles de confiance
   • Une application PDF (Drive/Fichiers/Adobe), un navigateur, une application de messagerie, un gestionnaire de mots de passe et votre application de sécurité choisie.
3. Définissez des paramètres par défaut sûrs
   • Définissez votre application PDF et votre navigateur de confiance comme applications par défaut afin que d’autres applications ne détournent pas les fichiers ou les liens web.
4. Activez Play Protect et le DNS privé
   • Activez Play Protect et configurez le DNS privé sur un fournisseur fiable qui propose un blocage des logiciels malveillants. 3
5. Expliquez à quoi ressemble une fausse invite
   • Montrez-leur la différence entre :
     • une vraie mise à jour système (depuis Paramètres ou Play), et
     • une invite “mettre à jour maintenant” ou “appuyez pour corriger” qui apparaît à l’intérieur d’un document ou d’une publicité.

Au lieu d’essayer d’en faire des experts en sécurité, configurez leur téléphone pour qu’ils aient moins de choix dangereux dès le départ.

Si vous pensez avoir déjà appuyé sur une fausse invite “mettre à jour l’application PDF”

Ne paniquez pas, mais agissez méthodiquement :

1. Désinstallez les applications suspectes
   • Allez dans Paramètres → Applications et supprimez les applications PDF ou “utilitaires” récemment installées auxquelles vous ne faites pas entièrement confiance.
2. Analysez votre téléphone
   • Lancez Google Play Protect.
   • Utilisez une application de sécurité mobile réputée pour effectuer une analyse complète. 5
3. Vérifiez les applications bancaires et de paiement
   • Recherchez toute connexion inconnue, transaction ou nouvel appareil.
   • Si quelque chose vous semble suspect, contactez votre banque en utilisant le numéro au dos de votre carte — jamais via des liens dans des SMS ou des e-mails. 7
4. Signalez l’arnaque
   • Signalez l’application et la publicité sur Google Play.
   • Dans de nombreux pays, vous pouvez également signaler les tentatives de fraude aux lignes d’assistance nationales contre la cybercriminalité ou au FBI Internet Crime Complaint Center (IC3) si vous êtes aux États-Unis. 3

Détecter les problèmes tôt peut transformer un cauchemar en un simple nettoyage.

La vision d’ensemble : les plateformes doivent arrêter de faire en sorte que le mauvais appui semble “officiel”

L’histoire qui a émergé aujourd’hui — un père essayant de réparer un PDF et se retrouvant avec un téléphone rempli d’applications aléatoires — est un petit mais révélateur instantané d’Android fin 2025. 1

Les chercheurs en sécurité, les forces de l’ordre et les fournisseurs de sécurité mobile s’accordent tous sur quelques thèmes :

• Les arnaques sont désormais un bruit de fond quotidien pour près de la moitié des utilisateurs mobiles. 3
• Les attaquants exploitent de plus en plus des astuces d’interface — superpositions, fausses mises à jour, écrans de paiement sans contact contrefaits — plutôt que de simples installateurs de malwares évidents. 6
• Les boutiques d’applications officielles restent un champ de bataille majeur, et non une zone de sécurité garantie. 4

Les utilisateurs peuvent (et devraient) apprendre quelques défenses de base. Mais au final, des plateformes comme Android et Google Play doivent :

• Interdire les créations publicitaires qui imitent l’interface système, et réellement faire appliquer cette règle.
• Rendre les étiquettes publicitaires grandes et cohérentes sur tous les formats de liste.
• Sanctionner les utilitaires de type “shovelware” et les quasi-duplicatas qui ajoutent des risques sans réelle valeur.
• Tenir les fabricants responsables des applications préinstallées qui abusent des publicités ou des invites trompeuses. 2

D’ici là, des histoires comme celle de ce père continueront d’arriver — et parfois, la prochaine “mise à jour PDF” aléatoire ne fera pas que gaspiller de l’espace de stockage. Elle volera un salaire.