Android 17 raccroche automatiquement au nez des faux appels bancaires

Personne tenant un smartphone en train de recevoir un appel

Android 17 peut désormais mettre fin de lui-même à un appel qui usurpe le numéro d’une banque, a détaillé Google sur son blog sécurité. Le système coupe la communication dès qu’un partenaire bancaire signale que l’appel entrant n’émane pas de ses serveurs.

La mesure s’attaque à une fraude en forte hausse, où un escroc se fait passer au téléphone pour un conseiller afin d’obtenir un virement ou un partage d’écran. Selon Google, le dispositif s’articule autour de deux briques désormais actives sur les appareils Android récents, la vérification directe de l’appel et une temporisation imposée lors du partage d’écran.

Un appel bancaire non vérifié coupé net

D’après le blog sécurité de Google, lorsqu’un appel se présente comme officiel, Android peut le confronter à l’application bancaire concernée. Si l’appli ne confirme pas l’origine, la communication serait immédiatement interrompue. Google indique que ces protections contre l’usurpation d’identifiant d’appelant sont déployées avec des partenaires financiers, dont Revolut, Itaú Unibanco et Nubank, la fonction visant les appareils sous Android 11 et versions ultérieures. Concrètement, l’application bancaire agit comme tiers de confiance, capable de dire à Android si un appel prétendument émis par la banque correspond ou non à une communication réelle de ses propres systèmes. En cas de désaccord, l’utilisateur n’a pas à trancher lui-même, le raccrochage étant automatique.

Le mécanisme s’inscrit dans le volet sécurité d’Android 17, dont la version stable a été publiée le 16 juin 2026 selon Android Authority. BleepingComputer précise que la détection de menaces en direct repère aussi les renvois de SMS abusifs, les surcouches d’accessibilité masquées et les icônes d’applications dissimulées, autant de leviers exploités lors de ces arnaques.

Trente secondes pour rompre le charme du manipulateur

La seconde brique cible le partage d’écran, souvent réclamé par l’escroc pour lire un code ou guider un virement. Google explique que l’ouverture d’une application financière compatible, pendant un appel avec un numéro absent du répertoire et un partage d’écran actif, déclenche un avertissement plein écran assorti d’un bouton pour raccrocher et couper le partage d’un seul geste.

« L’avertissement inclut une pause de 30 secondes avant de pouvoir continuer, ce qui aide à briser le charme de l’ingénierie sociale de l’escroc », écrit Google sur son blog sécurité. La firme affirme que le pilote britannique de ces protections in-call a déjà aidé des milliers d’utilisateurs à mettre fin à des appels qui auraient pu leur coûter des sommes importantes. Ce délai imposé constitue le cœur de l’approche défendue par Google, l’idée n’étant pas seulement de détecter la fraude mais de ralentir l’utilisateur au moment précis où le manipulateur cherche à lui faire perdre son sens critique. Selon Android Authority, la même logique interdit d’accorder des permissions sensibles tant que la situation à risque persiste.

Un déploiement par pays et par banque

Selon Google, le programme a d’abord été testé au Royaume-Uni avant d’être étendu à la plupart des grandes banques britanniques. Le blog cite un lancement du pilote américain en décembre 2025, avec JPMorganChase et Cash App parmi les premiers partenaires, ainsi que des essais évoqués au Brésil et en Inde. La couverture dépend donc à la fois du pays et des applications financières partenaires, la protection restant conditionnée à leur participation.

Android Authority rappelle que ces garde-fous s’accompagnent d’un contrôle des installations hors magasin. Chrome pour Android analyse désormais via Safe Browsing les fichiers APK téléchargés afin de bloquer ceux connus pour contenir des logiciels malveillants, tandis que des protections liées aux appels empêcheraient d’installer une application ou d’accorder des permissions d’accessibilité pendant un échange avec un contact inconnu.

Des limites qui subsistent

Le dispositif ne couvre pas tous les scénarios. BleepingComputer souligne que la vérification automatique repose sur la coopération des applications bancaires, ce qui laisse hors champ les établissements non partenaires. Google précise par ailleurs que certaines fonctions arrivent d’abord sur les appareils Pixel, le calendrier variant ensuite selon les constructeurs.

La firme rattache cet ensemble à une vague plus large de mesures anti-arnaque et anti-vol présentées pour 2026, incluant selon BleepingComputer des délais allongés entre tentatives de code, l’affichage de l’IMEI sur l’écran verrouillé pour les appareils sous Android 12 et plus, et le masquage des codes à usage unique reçus par SMS pendant trois heures vis-à-vis de la plupart des applications.

S'abonner à la newsletter