Guide des technologies

Brokewell : malware Android diffusé via publicités Facebook

8 min read Sécurité Mobile Mis à jour 17 Sep 2025
Brokewell : protéger Android des pubs malveillantes
Brokewell : protéger Android des pubs malveillantes

Important : si une application vous demande votre code PIN, vos mots de passe ou d’autres informations sensibles, supprimez-la immédiatement et ne fournissez jamais ces données.

Brokewell Malware Android Featured

Contexte : résumé du risque

Des chercheurs en sécurité de Bitdefender ont identifié une campagne publicitaire malveillante sur Facebook visant les utilisateurs Android. Les annonces promettent un accès gratuit à TradingView Premium et redirigent les victimes vers un site qui force le téléchargement d’un APK malveillant — le spyware « Brokewell ». Ces publicités imitent la marque et le logo de TradingView pour paraître légitimes.

Le malware a été repéré pour la première fois en 2024 et a évolué depuis (il se propageait initialement via de fausses mises à jour Chrome). Selon le rapport, en août 2025 les annonces avaient déjà touché des dizaines de milliers d’utilisateurs dans l’UE, et la propagation est mondiale.

Mobile device attacked by malware.

Comment fonctionne l’attaque Brokewell

  1. L’annonce Facebook attire l’attention (offre gratuite ou remise).
  2. Clic -> redirection vers un site imitation TradingView qui propose un APK.
  3. L’utilisateur télécharge et installe l’APK (souvent après autorisation de sources inconnues).
  4. L’application demandera des permissions d’Accessibilité intensives et affichera de faux dialogues de mise à jour ; l’une de ces demandes peut viser votre code PIN.
  5. Si vous accordez ces permissions, l’application peut s’auto-désinstaller pour échapper à la détection et laisser des backdoors permettant l’espionnage et la prise de contrôle.

Hacker launching attacks on Android devices.

Quels sont les effets pour votre téléphone

Brokewell permet aux attaquants de :

  • Bypasser la double authentification (2FA) en volant les codes d’outils comme Google Authenticator.
  • Prendre le contrôle de comptes via des écrans de connexion factices (overlays).
  • Scanner et voler des portefeuilles de cryptomonnaies (BTC, ETH, autres).
  • Intercepter les SMS en prenant le contrôle de l’application de messages par défaut (hijacking).
  • Surveiller vos frappes (keylogging) et suivre votre position en direct.
  • Prendre le contrôle à distance : envoyer des SMS, passer des appels, désinstaller des apps, et activer un mode d’autodestruction.

Signes d’infection (indicateurs à vérifier)

  • Apparition d’applications inconnues dans la liste d’apps.
  • Demandes répétées d’accès à l’Accessibilité ou à l’administration du téléphone.
  • Fenêtres superposées (overlays) qui imitent des écrans de connexion.
  • Activité anormale : batterie qui fond, surconsommation de données, envois SMS non autorisés.
  • Applications devenues inutilisables après refus de permissions et comportement de désinstallation automatique.

Méthodologie rapide pour vérifier une possible infection

  1. Passez votre téléphone en mode Avion pour couper l’accès réseau.
  2. Depuis un appareil sûr, changez vos mots de passe importants (e‑mail, banques, cryptos).
  3. Sur l’appareil suspect : Paramètres → Applications : regardez les applications récemment ajoutées et les autorisations.
  4. Paramètres → Accessibilité : vérifiez quelles applications ont l’accès.
  5. Paramètres → Autorisations spéciales : vérifiez la capacité des apps à afficher sur d’autres applications (overlays) et l’accès aux SMS.
  6. Lancez un scan avec une application de sécurité reconnue (Play Protect, antivirus mobile).
  7. Si une application refuse la fermeture ou cache son icône, notez son nom et supprimez-la en mode sans échec, ou préparez une réinitialisation d’usine.

Procédure d’urgence (runbook) si vous êtes infecté

  1. Isolez : activez le mode Avion pour couper Internet et empêcher les exfiltrations.
  2. Sauvegardez les données importantes (photos, documents) vers un appareil ou un cloud sûr, mais évitez les sauvegardes susceptibles d’exporter des données compromises.
  3. Révoquez l’accès depuis les comptes (si possible) : changez les mots de passe depuis un appareil sûr et désactivez les sessions actives.
  4. Informez votre banque si des données financières ont pu être exposées ; surveillez les transactions.
  5. Essayez de supprimer l’application malveillante : Paramètres → Applications → Désinstaller (ou démarrez en mode sans échec pour empêcher l’app de se lancer).
  6. Si la suppression échoue ou si le comportement persiste : effectuez une réinitialisation d’usine (après sauvegarde).
  7. Après nettoyage, installez les mises à jour système, changez à nouveau les mots de passe, et surveillez les comptes pendant plusieurs semaines.

Note : si le téléphone est rooté/modifié, la capacité de l’attaquant peut être plus profonde et la réinitialisation d’usine peut ne pas suffire ; envisagez une assistance professionnelle.

Checklist par rôle

  • Utilisateur lambda :

    • Ne pas activer l’installation depuis des sources inconnues.
    • Refuser les permissions d’Accessibilité inutiles.
    • Ne pas communiquer de PIN, mots de passe ou codes 2FA.

  • Responsable IT / administrateur :

    • Bloquer l’installation d’APKs non signés via MDM/EMM.
    • Mettre en place des politiques d’accès et surveiller les autorisations Accessibilité.
    • Déployer scans antivirus et alertes SIEM pour activité anormale.

  • Équipe de réponse (CERT interne) :

    • Isoler l’appareil et collecter logs (Play Protect, journaux système).
    • Conduire une recherche d’indicateurs (apps inconnues, tâches planifiées).
    • Préparer la réinitialisation et la restauration à partir d’un état fiable.

Prévention détaillée (bonnes pratiques)

  • Évitez de cliquer sur les publicités ou promotions trop attractives. Si une offre vous intéresse, recherchez le site officiel vous-même.
  • Téléchargez uniquement depuis des sources dignes de confiance : Google Play (vérifiez l’éditeur et les avis). Activez la fonctionnalité « Améliorer la détection des applications malveillantes » dans Google Play → Profil → Play Protect.
  • Ne sideloadez pas d’APKs sauf si vous savez exactement ce que vous faites et que vous pouvez vérifier la signature numérique de l’APK.
  • Refusez les permissions intrusives : si une app demande un accès Accessibilité ou votre PIN sans raison claire, ne l’accordez pas.
  • Maintenez Android et vos applications à jour (correctifs de sécurité).
  • Utilisez un gestionnaire de mots de passe et activez l’authentification forte (2FA via clés matérielles ou applications d’authentification plutôt que SMS).
  • Sur Android 16, considérez l’activation d’Advanced Protection pour une couche supplémentaire contre le phishing et les installations malveillantes.

Quand ces protections peuvent échouer

  • Appareil rooté ou modifié : les protections natives sont contournées plus facilement.
  • Ingénierie sociale réussie : si l’utilisateur installe volontairement l’APK.
  • Zero‑day ou techniques avancées non encore détectées par les scanners.

Mini-méthodologie : vérifier un APK suspect

  1. Vérifier le domaine et l’URL de téléchargement (est‑ce le site officiel ?).
  2. Vérifier la signature de l’APK (si possible) et l’éditeur dans Google Play.
  3. Scanner l’APK avec plusieurs moteurs (VirusTotal depuis un appareil sûr).
  4. Tester dans un environnement isolé (emulateur ou appareil secondaire) avant toute installation sur votre appareil principal.

Faits clés

  • Première détection : 2024.
  • Propagation rapportée : « dizaines de milliers » d’utilisateurs dans l’UE d’après les chercheurs (donnée signalée en août 2025).
  • Vecteur principal : publicités Facebook redirigeant vers un APK déguisé.

Glossaire (une ligne)

  • APK : format d’installation des applications Android.
  • 2FA : authentification à deux facteurs.
  • Overlay : fenêtre affichée par une application par‑dessus une autre pour capturer des informations.

Notes et recommandations finales

Important : ne communiquez jamais votre code PIN ou vos mots de passe en réponse à une application. Si vous avez le moindre doute, supprimez l’application depuis les réglages ou démarrez en mode sans échec pour la désinstaller.

Résumé :

  • Brokewell se propage via des publicités Facebook imitant TradingView.
  • Il demande des permissions d’Accessibilité pour voler des données sensibles.
  • Agissez vite : isolez l’appareil, changez les mots de passe depuis un appareil sûr, supprimez l’application ou réinitialisez si nécessaire.

FAQ

Q : Comment savoir si j’ai vraiment téléchargé Brokewell ?
R : Cherchez des apps inconnues, vérifiez les autorisations d’accessibilité, repérez des overlays ou des demandes de PIN. Si vous observez ces signes, suivez la procédure d’urgence ci‑dessus.

Q : La réinitialisation d’usine supprime‑t‑elle définitivement Brokewell ?
R : Dans la plupart des cas oui, si le téléphone n’est pas rooté et que la réinitialisation est complète. Sur des appareils compromis profondément, une assistance professionnelle peut être nécessaire.

Q : Play Protect suffit‑t‑il pour me protéger ?
R : Play Protect réduit les risques mais n’est pas infaillible. Combinez‑le avec des pratiques sûres : ne pas sideloader, vérifier les permissions et maintenir l’appareil à jour.

Partager: X/Twitter Facebook LinkedIn Telegram
Auteur
Édition

Matériaux similaires

Installer et utiliser Podman sur Debian 11
Conteneurs

Installer et utiliser Podman sur Debian 11

Guide pratique : apt-pinning sur Debian
Administration système

Guide pratique : apt-pinning sur Debian

OptiScaler : activer FSR 4 dans n'importe quel jeu
Jeux PC

OptiScaler : activer FSR 4 dans n'importe quel jeu

Dansguardian + Squid NTLM sur Debian Etch
réseau

Dansguardian + Squid NTLM sur Debian Etch

Corriger l'erreur d'installation Android sur SD
Android, Dépannage

Corriger l'erreur d'installation Android sur SD

KNetAttach et remote:/ — Dossiers réseau KDE
Tutoriel

KNetAttach et remote:/ — Dossiers réseau KDE