Arnaques aux voyages pour seniors utilisées par les acteurs malveillants pour diffuser le malware Datzbro

Arnaques aux voyages pour seniors utilisées par les acteurs malveillants pour diffuser le malware Datzbro
En août 2025, les autorités australiennes ont émis plusieurs alertes à l’arnaque après que des utilisateurs ont signalé des groupes Facebook suspects faisant la promotion de « voyages actifs pour seniors ».
Ce qui apparaissait initialement comme des rassemblements communautaires inoffensifs masquait en réalité une opération malveillante sophistiquée sur mobile.
Les chercheurs de ThreatFabric ont découvert que ces groupes étaient gérés par des fraudeurs qui incitaient les seniors à télécharger un cheval de Troie Android malveillant baptisé « Datzbro ».
Ce rapport détaille le fonctionnement de la campagne, les fonctionnalités de Datzbro et les raisons pour lesquelles sa disponibilité mondiale représente une menace importante. La campagne ciblait les seniors en quête d’activités sociales, de voyages et d’événements en personne.
Les fraudeurs ont créé de nombreux groupes Facebook remplis de publications générées par l’IA annonçant des soirées dansantes, des excursions et autres rassemblements. Bien que le contenu paraisse authentique, il était conçu pour plaire aux seniors et incitait les utilisateurs intéressés à rejoindre des canaux de messagerie privés.

Des rapports indiquent que des groupes ciblant des publics en Australie sont également apparus à Singapour, en Malaisie, au Canada, en Afrique du Sud et au Royaume-Uni, tous affichant un style de message et des visuels quasiment identiques.
Une fois les victimes intéressées, les escrocs les contactaient via Facebook Messenger ou WhatsApp. Les victimes recevaient des liens pour télécharger une prétendue « application communautaire » permettant prétendument l’inscription aux événements, la connexion des membres et le suivi des agendas.
Dans certains cas, des frais d’inscription minimes étaient exigés, ce qui a conduit au vol de cartes de paiement via des sites d’hameçonnage. Alors que les liens iOS menaient à des espaces réservés inactifs, les victimes Android qui cliquaient sur le bouton Google Play recevaient un APK malveillant.

Arrivée de Datzbro

L’analyse menée par l’équipe de renseignement sur les menaces mobiles de ThreatFabric a révélé que l’APK téléchargé était un nouveau cheval de Troie de prise de contrôle d’appareil, baptisé « Datzbro », d’après une chaîne de caractères intégrée à son code. Ce malware combine les fonctionnalités classiques des logiciels espions (enregistrement audio, capture d’écran, accès aux fichiers et aux photos) avec des capacités avancées de contrôle à distance.
Ces fonctionnalités permettent la fraude financière par le biais d’attaques par superposition noire et d’enregistrement de frappe, brouillant ainsi la frontière entre logiciels espions et chevaux de Troie bancaires.
Datzbro exploite les services d’accessibilité d’Android pour exécuter des gestes automatisés et des actions globales, notamment la simulation des boutons Accueil et Retour.
Grâce à son interface de commande et de contrôle, les opérateurs peuvent :
  • Démarrer ou arrêter le partage et le contrôle d’écran à distance ;
  • Activer ou désactiver une superposition semi-transparente pour masquer les actions malveillantes ;
  • Verrouiller ou déverrouiller l’appareil ;
  • Activer le contrôle à distance « schématique », qui reconstruit les éléments de l’écran à partir des données d’événements d’accessibilité pour une interaction précise, même en cas de mauvaise qualité de streaming vidéo.
En mode schématique, le logiciel malveillant transmet une représentation structurée des éléments de l’écran (positions, libellés et contenu), permettant aux opérateurs d’interagir de manière fluide avec les applications tout en se cachant derrière une superposition noire ou personnalisée.

Ciblage bancaire et cryptographique

Bien que dépourvu de la boîte à outils complète des chevaux de Troie bancaires classiques, Datzbro inclut des filtres codés en dur pour les applications bancaires et cryptographiques.
Le logiciel malveillant surveille les événements d’accessibilité pour les noms de paquets contenant des mots-clés tels que « banque », « payer », « alipay », « portefeuille » et « finance », ainsi que le texte d’événement contenant « mot de passe », « code PIN » ou des termes de vérification spécifiques à la langue.
Lorsqu’il est déclenché, Datzbro affiche de faux écrans de saisie d’identifiants demandant aux victimes leurs codes PIN et mots de passe bancaires. Il intercepte également les saisies de code PIN, de schéma ou de mot de passe de l’appareil, capturant ainsi toutes les données d’authentification sensibles.

Une enquête plus approfondie a révélé la fuite d’une application de bureau de type « Command-and-Control » et d’un outil de création pour Datzbro, désormais disponibles gratuitement sur les plateformes publiques de partage de virus.
Mobile Threat Intelligence a identifié des échantillons nommés « 最强远控.apk » (« La télécommande la plus puissante ») et des chaînes de débogage en chinois, indiquant l’origine des développeurs.
L’interface C2 de bureau, contrairement aux interfaces web classiques, suggère un modèle opérationnel unique et confirme l’origine du malware dans les communautés de cybercriminels parlant chinois.

Atténuations

En combinant contenu généré par l’IA, manipulation des plateformes sociales et fonctionnalités de pointe des logiciels malveillants, telles que les superpositions noires et le contrôle schématique, les acteurs malveillants ont créé une menace financière puissante contre les personnes âgées vulnérables.
Une campagne commençant par une invitation amicale sur Facebook peut aboutir à une prise de contrôle totale de l’appareil, au vol d’identifiants et à une fraude électronique.
Avec la propagation mondiale de Datzbro, il est crucial de sensibiliser les personnes âgées et les organismes communautaires. Les institutions financières et les acteurs de la cybersécurité doivent mettre en garde les utilisateurs contre le téléchargement d’applications non vérifiées promues sur les réseaux sociaux.
Un contrôle renforcé des autorisations des services d’accessibilité et un signalement vigilant des groupes en ligne suspects peuvent contribuer à briser la chaîne allant de l’arnaque sociale à l’infection par des logiciels malveillants mobiles.

La cybersécurité n’est plus l’apanage des techs.C’est devenu un devoir social. Un clic, un partage, une vigilance peuvent vraiment changer la suite.

Si vous bossez dans la com’, la gestion de réseaux sociaux, le marketing digital : ces histoires, montrez-les à vos clients, à votre audience. Ce n’est pas juste de la prévention, c’est de la responsabilité.

Si vous êtes un particulier :

  • ne téléchargez jamais d’app hors Play Store ou magasin officiel,

  • ne donnez jamais les permissions “Accessibilité” à une appli inconnue,

  • parlez de ce danger autour de vous, surtout à ceux qui sont isolés.

Des questions, des problèmes ? Notre équipe est à la distance d’un click !

Comments 0

Leave a Reply

Your email address will not be published. Required fields are marked *