Netcrook Logo
👤 NEONPALADIN
🗓️ 04 Dec 2025   🌍 South America

Le Brésil assiégé : chevaux de Troie bancaires et fraudeurs NFC exploitent WhatsApp et les smartphones

Des cybercriminels déchaînent une vague de chevaux de Troie bancaires et de fraudes aux paiements sans contact au Brésil, détournant des applications de confiance et exploitant les nouvelles technologies pour vider les comptes de leurs victimes.

En bref

  • Les utilisateurs brésiliens sont ciblés par des malwares avancés diffusés via WhatsApp et des sites de phishing.
  • Une nouvelle campagne de cheval de Troie bancaire à comportement de ver utilise des fichiers PDF, HTA et l’automatisation Python.
  • Le malware RelayNFC permet le vol en temps réel de données de cartes sans contact via des appareils Android infectés.
  • Les attaquants utilisent l’intelligence artificielle pour adapter et améliorer les scripts de propagation.
  • Les campagnes exploitent la confiance des utilisateurs et la popularité de WhatsApp et des paiements mobiles au Brésil.

Le nouveau visage des malwares bancaires au Brésil

Imaginez une notification WhatsApp qui retentit tard dans la nuit - un ami de confiance partage un PDF ou une mise à jour apparemment urgente. Au Brésil, des milliers de personnes sont tombées dans ce piège familier, pour découvrir que leur sécurité bancaire a été compromise par une nouvelle génération de cybercriminels armés de codes ingénieux et d’ingénierie sociale.

La récente recrudescence des attaques est attribuée au groupe de menace connu sous le nom de Water Saci, dont la dernière campagne est un véritable modèle d’évolution technique et de tromperie. Contrairement aux attaques précédentes qui reposaient principalement sur des scripts PowerShell, cette vague utilise une chaîne d’infection à plusieurs niveaux : des fichiers PDF malveillants et des fichiers HTML Application (HTA) sont envoyés via WhatsApp, incitant les utilisateurs à lancer des scripts qui installent silencieusement un cheval de Troie bancaire. Ce qui est particulièrement inquiétant, c’est le comportement de type ver - le malware n’infecte pas seulement un appareil, mais se propage rapidement aux contacts de la victime via WhatsApp Web, créant un effet viral.

Comment fonctionne l’attaque

L’infection commence innocemment : un message WhatsApp d’un contact connu, vous incitant à ouvrir une pièce jointe ou à mettre à jour votre Adobe Reader. Une fois ouvert, le fichier exécute un script qui télécharge d’autres malwares - un cheval de Troie bancaire conçu pour cibler les institutions financières brésiliennes. Les attaquants ont habilement adapté le malware pour qu’il ne s’active que sur les systèmes configurés en portugais (Brésil), et il fouille les applications bancaires installées, l’historique du navigateur, et surveille même les fenêtres ouvertes pour détecter une activité bancaire.

Le cheval de Troie n’est pas qu’un simple pickpocket numérique ; c’est un véritable espion. Il peut enregistrer les frappes clavier, prendre des captures d’écran, simuler des mouvements de souris et même créer de fausses superpositions bancaires pour voler des identifiants. Sa persistance est assurée par une surveillance constante de l’activité bancaire et une réinfection si l’utilisateur tente de le supprimer.

Ce qui distingue cette campagne, c’est son agilité technique. Les chercheurs ont trouvé des preuves que Water Saci a utilisé des outils d’intelligence artificielle pour convertir leur code de propagation de PowerShell à Python, rendant l’attaque plus rapide et plus compatible avec différents navigateurs. Le cheval de Troie utilise également des méthodes avancées pour échapper à la détection, comme la vérification d’environnements virtuels et le camouflage de ses communications avec les serveurs de commande et de contrôle.

RelayNFC : la fraude aux paiements sans contact devient mobile

Comme si les chevaux de Troie bancaires ne suffisaient pas, les utilisateurs brésiliens font aussi face à une nouvelle menace visant leurs smartphones. RelayNFC, un malware Android récemment découvert, permet aux attaquants de voler en temps réel les données des cartes de paiement sans contact. Diffusé via des sites de phishing imitant des services de sécurité légitimes, RelayNFC incite les utilisateurs à installer une application malveillante. L’application demande alors à la victime de poser sa carte de paiement sur le téléphone et de saisir son code PIN - fournissant ainsi tout ce qu’il faut pour des transactions frauduleuses.

Grâce à des techniques avancées comme la transmission en temps réel des données de carte et l’obfuscation avec du code React Native, RelayNFC peut envoyer les informations volées aux attaquants, qui peuvent alors émuler la carte de la victime sur un terminal de paiement n’importe où dans le monde. Cela s’inscrit dans une tendance croissante, les criminels expérimentant de nouveaux moyens d’exploiter la popularité des paiements mobiles et de la technologie NFC.

Un paysage de menaces élargi

L’économie numérique brésilienne, avec son adoption massive de WhatsApp et de la banque mobile, est devenue un terrain de chasse privilégié pour les cybercriminels. Ces campagnes rappellent les attaques passées comme les chevaux de Troie Casbaneiro et Metamorfo, mais avec plus de sophistication et d’automatisation. Selon Trend Micro et Cyble, la combinaison d’ingénierie sociale, d’abus de plateformes et d’innovation technique marque une nouvelle ère du cybercrime - où des outils familiers deviennent des armes entre les mains des attaquants.

À mesure que les criminels exploitent l’intelligence artificielle et l’interconnexion des applications de messagerie, ils ne piratent plus seulement des appareils - ils piratent la confiance elle-même.

Dans un monde où chaque notification peut être un piège, les clients bancaires brésiliens sont désormais en première ligne d’une guerre invisible. La leçon est claire : lorsque la commodité rencontre la complaisance, les cybercriminels prospèrent. La vigilance, l’éducation et une sécurité robuste sont plus cruciales que jamais, alors que la vie numérique s’entrelace toujours davantage avec la sécurité financière.

WIKICROOK

  • Cheval de Troie bancaire : Un cheval de Troie bancaire est un malware qui cible les données financières en volant des identifiants bancaires et des informations personnelles, souvent en imitant des applications de confiance.
  • Attaque de relais NFC : Une attaque de relais NFC permet aux criminels de tromper les systèmes de paiement sans contact en relayant les signaux d’un appareil victime, autorisant ainsi des transactions non autorisées à distance.
  • Ingénierie sociale : L’ingénierie sociale est l’utilisation de la tromperie par des hackers pour inciter des personnes à révéler des informations confidentielles ou à fournir un accès non autorisé à un système.
  • Script AutoIt : Un script AutoIt automatise des tâches sur les ordinateurs Windows. Utile pour l’informatique, il peut aussi être exploité par des hackers pour contrôler des systèmes infectés.
  • Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’effectuer des actions spécifiques, parfois à des fins malveillantes.
Banking Trojans NFC Fraud Cybercrime
NEONPALADIN NEONPALADIN
Cyber Resilience Engineer
← Back to news