Une campagne de publicité malveillante d'une ampleur préoccupante cible actuellement les utilisateurs de smartphones Android. Les chercheurs en sécurité de Bitdefender ont identifié un nouveau logiciel malveillant, baptisé Brokewell, capable de prendre le contrôle total d'un appareil. Ce virus est activement distribué par le biais de publicités sur les réseaux sociaux de Meta, marquant une nouvelle escalade des menaces ciblant les mobiles.
L'appât : une fausse application de trading sur Facebook
Pour piéger leurs victimes, les cybercriminels ont recours à une technique bien rodée : l'usurpation d'identité. Ils ont créé une fausse application imitant TradingView, une plateforme très populaire de surveillance des marchés financiers. La promesse est alléchante : un accès gratuit pendant un an à la version Premium, normalement payante. Cette offre est ensuite promue agressivement via au moins 75 publicités différentes sur Facebook, ciblant principalement les utilisateurs européens intéressés par les cryptomonnaies.
Le mécanisme d'infection : un piège en deux temps
Le processus d'infection est conçu pour endormir la méfiance de l'utilisateur. Une fois que la personne a cliqué sur la publicité, elle est redirigée vers une page web qui copie le site officiel de TradingView pour télécharger l'application. Une fois installée, cette dernière affiche immédiatement une fenêtre demandant d'effectuer une mise à jour. C'est en acceptant cette fausse mise à jour que la victime installe, sans le savoir, le malware Brokewell sur son téléphone. Le virus s'octroie alors une multitude d'autorisations en arrière-plan pour opérer en toute discrétion.
L'arsenal de Brokewell : un espion aux multiples facettes
Qualifié par Bitdefender comme « l’une des menaces Android les plus sophistiquées jamais observées dans une campagne de malvertising », Brokewell dispose d'un arsenal complet pour espionner et voler des informations.
Ses capacités incluent :
- Vol de données financières : Il peut exfiltrer les informations de comptes de cryptomonnaies, les numéros de compte bancaire (IBAN) et même les codes de Google Authenticator pour contourner la double authentification.
- Piratage de comptes : Il utilise des fenêtres de connexion superposées (overlay) pour voler les identifiants et mots de passe de n'importe quelle application.
- Surveillance totale : Le malware peut enregistrer tout ce qui est tapé au clavier (keylogging), prendre des captures d'écran, activer la caméra, suivre la localisation GPS et intercepter les SMS, y compris les codes de connexion bancaire.
Comment se protéger de cette nouvelle menace
Face à la sophistication de ces attaques, la vigilance est de mise. Les experts de Bitdefender rappellent quelques règles de sécurité essentielles pour se prémunir contre ce type de menace.
Il est conseillé de :
- N'installer que des applications depuis le Google Play Store officiel. Évitez de télécharger des fichiers APK depuis des sites web, surtout s'ils proviennent de publicités.
- Se méfier des offres trop belles pour être vraies. Une application payante de renom offerte gratuitement doit immédiatement éveiller les soupçons.
- Vérifier les autorisations demandées par une application. Si une application demande un accès à des fonctions qui ne semblent pas nécessaires à son fonctionnement (comme les services d'accessibilité pour une app de trading), c'est un signal d'alarme.
Même sur des plateformes de confiance comme Facebook, les cybercriminels exploitent le système publicitaire. La prudence reste comme toujours la meilleure des défenses.