Une version modifiée de WhatsApp préinstallée sur des smartphones Android bon marché vise à dérober les crypto-monnaies de leurs utilisateurs via le presse-papiers.
Depuis l’été 2024, une inquiétante vague de signalements a alerté les experts en cybersécurité : des smartphones Android flambant neufs, souvent achetés à prix cassé, sont livrés avec un WhatsApp piégé. D’apparence inoffensive, cette application n’est en réalité qu’un cheval de Troie, conçu pour intercepter les données copiées par l’utilisateur, notamment les adresses de portefeuilles de crypto-monnaies. Baptisé « Shibai », ce malware illustre une tendance inquiétante : l’industrialisation des logiciels espions dans les chaînes d’approvisionnement de fabricants peu scrupuleux.
Doctor Web, entreprise spécialisée dans la cybersécurité, est à l’origine de cette découverte. Dès juin 2024, ses équipes reçoivent des plaintes d’utilisateurs Très vite, une tendance se dessine : tous les appareils signalés sont de marques obscures, imitant les noms de modèles célèbres, et vendus à des prix très attractifs. Leur point commun : un système modifié contenant un faux WhatsApp, identique en apparence à l’original mais doté d’un code malveillant intégré en profondeur dans le firmware de l’appareil.
L’analyse révèle que cette version de WhatsApp utilise un module nommé com.whatsHook.apk, intégré grâce au framework LSPatch. Ce dernier permet de modifier le comportement d’une application sans toucher directement à son code source. Grâce à ce mécanisme, le faux WhatsApp se transforme en espion de poche : il surveille le presse-papiers, remplace discrètement les adresses de portefeuilles de crypto-monnaies Tron et Ethereum copiées par l’utilisateur par celles contrôlées par les attaquants, et envoie en parallèle une copie de tous les messages, images, captures d’écran et informations système vers des serveurs distants.
Un simple copier-coller peut suffire à faire disparaître vos crypto-actifs : les clippers manipulent le presse-papiers à votre insu.
Les victimes, persuadées d’utiliser une application officielle, ne se doutent de rien. Lorsqu’elles copient une adresse de portefeuille dans le but d’effectuer un transfert, l’application malveillante la remplace automatiquement par celle d’un pirate. La transaction est ainsi redirigée, sans retour possible. Cette technique, appelée « clipping », est redoutablement efficace et repose sur un comportement utilisateur banal : copier et coller des données sensibles pour gagner du temps.
Mais la tromperie ne s’arrête pas là. Les chercheurs ont constaté que ces téléphones, en plus d’être infectés d’usine, trichent également sur leurs caractéristiques techniques. Si l’écran d’accueil affirme faire tourner Android 14, il s’agit en réalité d’Android 12. Des applications comme AIDA64 ou CPU-Z, censées vérifier les spécifications de l’appareil, sont elles-mêmes dupées par une couche logicielle qui modifie à la volée les données affichées. Cette manipulation concerne aussi bien la marque, le modèle, que la mémoire ou le processeur. Résultat : un utilisateur peu averti pense avoir fait une bonne affaire, alors qu’il a en main un téléphone contrefait, vulnérable, et déjà compromis.
Les modèles les plus souvent cités par les victimes ont des noms ressemblant à des smartphones haut de gamme : S23 Ultra, Note 13 Pro, P70 Ultra. Mais ces désignations sont trompeuses. Un tiers d’entre eux sont produits sous la marque SHOWJI, mais les chercheurs n’ont pas encore réussi à identifier tous les fabricants impliqués dans cette chaîne d’approvisionnement douteuse.
Des téléphones maquillés en modèles haut de gamme, mais infectés dès la sortie d’usine : une menace invisible pour des milliers d’utilisateurs.
L’ampleur de l’opération est inquiétante. Les cybercriminels n’ont pas ciblé WhatsApp uniquement. Une quarantaine d’applications ont été modifiées : Telegram, des messageries alternatives, des lecteurs de QR codes et surtout des portefeuilles de crypto-monnaies comme MathWallet ou Trust Wallet. Dans chaque cas, le principe reste le même : détourner, espionner, et extraire des données sensibles en toute discrétion.
Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !
Les infrastructures derrière cette opération sont complexes et bien organisées. Plus de 60 serveurs de contrôle ont été identifiés, ainsi qu’une trentaine de domaines web servant à distribuer les applications vérolées. Cette architecture démontre que l’objectif n’est pas seulement technique : il s’agit d’un réseau à visée lucrative, qui fonctionne à l’échelle mondiale. Et les chiffres parlent d’eux-mêmes. L’un des portefeuilles surveillés par les experts contenait plus d’un million de dollars (environ 930 000 euros) de fonds volés sur deux ans. Un second portefeuille recensait 500 000 dollars (environ 465 000 euros), tandis que d’autres abritaient chacun jusqu’à 100 000 dollars. Toutefois, ces montants ne représentent probablement qu’une fraction des gains réels, les cybercriminels utilisant des adresses changeantes et difficiles à tracer.
Le nom du malware, Shibai, fait référence à la cryptomonnaie Shiba Inu (SHIB). Un détail révélateur, qui laisse entendre que les auteurs de cette attaque sont familiers du jargon et des mécanismes du monde crypto, et savent en exploiter les failles.
Face à cette menace, les recommandations classiques (éviter les téléchargements suspects, mettre à jour son antivirus, ne pas cliquer sur des liens inconnus) semblent insuffisantes. Le mal est ici plus profond : il est intégré directement dans l’appareil avant même sa première utilisation. Cela pose une question délicate de responsabilité. Qui doit protéger le consommateur ? Les fabricants ? Les distributeurs ? Les plateformes d’e-commerce ? Ou le consommateur lui même, toujours avide de « petit prix » sans réfléchir au danger qui peut se cacher derrière la bonne affaire !
Car ces téléphones sont souvent vendus en ligne, sur des sites peu regardants. Entre un S23 Ultra à 900 euros et son imitation à 120 euros, le choix peut sembler tentant. Mais le coût réel, lui, peut se chiffrer en milliers d’euros, une fois les crypto-monnaies dérobées. Les autorités, quant à elles, peinent à réagir efficacement. D’une part parce que les fabricants en cause sont difficiles à identifier. D’autre part, parce que les victimes n’ont parfois même pas conscience d’avoir été trompées.
Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.
