Une nouvelle menace informatique frappe les smartphones Android à travers une vaste campagne publicitaire frauduleuse sur Facebook. Derrière la promesse alléchante d’un accès gratuit à TradingView Premium se cache un malware sophistiqué. Comment fonctionne cette attaque et comment s’en protéger ?
L’info résumée en 3 points
- Une campagne de malvertising sur Facebook s’adresse aux utilisateurs Android, promettant un accès gratuit à TradingView Premium.
- Le malware Brokewell, dissimulé derrière ces annonces, peut intercepter des données sensibles et prendre le contrôle des appareils infectés.
- Les utilisateurs sont invités à ne pas installer d’applications via des liens douteux et à renforcer la sécurité de leurs smartphones.
Le fonctionnement de la campagne malveillante
Depuis le 22 juillet, une campagne frauduleuse s’est déployée via les publicités de Meta, ciblant spécifiquement les utilisateurs Android. En promettant un accès gratuit aux fonctionnalités Premium de TradingView, ces annonces incitent les utilisateurs à télécharger un fichier APK malveillant. Ce fichier, hébergé sur un domaine tiers, se charge alors d’installer un malware sophistiqué.
Le malware, une version évoluée du trojan Brokewell, est conçu pour intercepter les SMS, détourner les codes de double authentification, collecter des identifiants bancaires et voler le contenu des portefeuilles de cryptomonnaies. Une fois installé, il active ses modules en arrière-plan pour prendre le contrôle des appareils, tout en communiquant avec un serveur distant.
Les techniques employées par le malware
Après avoir été installé, le malware demande des permissions étendues, notamment l’accès aux services d’accessibilité et le code de verrouillage de l’appareil. Une fois ces accès obtenus, un second module chiffré s’active discrètement, surveillant le système et exécutant plus de 130 commandes variées, telles que l’envoi de SMS ou la capture d’écran.
Ce malware utilise des techniques sophistiquées pour rester indétectable, en s’appuyant sur le consentement explicite de l’utilisateur pour s’installer. Cette approche rend la détection difficile pour les systèmes de protection classiques, d’autant plus que le fichier est installé manuellement.
Comment se protéger de cette menace
Pour se prémunir contre de telles attaques, il est essentiel de ne pas installer d’applications via des liens issus de réseaux sociaux ou de publicités non vérifiées. Les applications populaires, telles que TradingView, doivent être téléchargées uniquement depuis le Play Store ou d’autres canaux officiels.
Il est conseillé d’installer un antivirus mobile et de désactiver par défaut l’installation d’applications provenant de sources inconnues. Les utilisateurs doivent également vérifier régulièrement les listes d’applications installées et les permissions accordées, en étant particulièrement vigilants quant aux services d’accessibilité et à l’accès aux messages.
Contexte de la menace
Meta, la société mère de Facebook, se trouve souvent au centre des discussions concernant la sécurité des données et la protection des utilisateurs. Les campagnes de malvertising ne sont pas nouvelles sur ses plateformes, mais l’ampleur et la sophistication de celle-ci soulignent l’importance pour les utilisateurs de rester vigilants.
TradingView, quant à lui, est une plateforme largement utilisée par les traders pour analyser des données financières. La notoriété et la crédibilité de cette marque ont été exploitées dans cette campagne pour tromper les utilisateurs, illustrant les défis permanents liés à la cybersécurité dans un monde numérique en constante évolution.