Une campagne coordonnée a permis à 131 extensions Chrome d'inonder la messagerie WhatsApp de messages indésirables. Selon les chercheurs en sécurité de la société Socket, ces extensions n'étaient pas des malwares classiques, mais fonctionnaient comme " une automatisation de spam à haut risque qui abuse des règles de la plateforme ".

Partageant toutes le même code, elles injectaient des scripts directement dans la page WhatsApp Web pour contourner les protections anti-spam et ont touché de l'ordre de 21 000 utilisateurs actifs avant leur suppression par Google.

Comment une telle opération a-t-elle pu prospérer ?

L'opération reposait sur un modèle de franchise sophistiqué orchestré par la société brésilienne DBX Tecnologia. Cette dernière proposait un programme en marque blanche permettant à des partenaires de rebrander et de vendre l'extension sous leur propre nom.

Bien que les façades changeaient, avec des noms d'éditeurs comme WL Extensão, la quasi-totalité des clones provenait de seulement deux comptes de développeurs. Cette stratégie a permis de multiplier les points de distribution et de rendre l'opération plus résistante aux suppressions individuelles.

socket-chrome-web-store-spam-whatsapp

Quelles règles ces extensions enfreignaient-elles ?

Ces applications violaient plusieurs politiques. D'une part, la politique du Chrome Web Store sur le spam et les abus interdit de soumettre plusieurs extensions qui fournissent des expériences dupliquées.

D'autre part, la politique de WhatsApp Business exige un consentement explicite de l'utilisateur avant tout contact, une règle totalement ignorée par ces outils conçus pour l'envoi de masse non sollicité.

DBX Tecnologia publiait en outre des tutoriels sur YouTube expliquant comment " éviter les bannissements en modulant le trafic " pour déjouer les systèmes anti-spam de la plateforme.

Des cibles essentiellement brésiliennes

Les opérateurs de ce réseau trompaient les utilisateurs en affirmant que la présence sur le Chrome Web Store équivalait à un audit de sécurité rigoureux, créant un faux sentiment de confiance.

En réalité, le risque était reporté sur les partenaires revendeurs et les utilisateurs finaux, qui s'exposaient à des bannissements de leurs comptes WhatsApp.

Un billet de blog de Socket liste les indicateurs de compromission. L'opération de spam aurait duré au moins neuf mois avec principalement pour cible des utilisateurs brésiliens.