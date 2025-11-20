Pour Résumer

Un ver diffusé sur WhatsApp cible les utilisateurs brésiliens en exploitant de faux liens administratifs ou financiers.

Il installe le trojan Eternidade Stealer, capable de voler données bancaires et accès crypto.

Sa communication via Gmail rend le blocage difficile, dans un pays où l’usage massif de WhatsApp et des cryptos attire les cybercriminels.

Un ver WhatsApp taillé pour l’écosystème brésilien

Des groupes de cybercriminels utilisent l’application de messagerie pour diffuser un ver et un trojan bancaire conçus pour siphonner données financières et accès aux wallets.

Les messages malveillants reprennent les codes habituels de l’ingénierie sociale : faux programmes gouvernementaux, notifications de livraison, groupes d’investissement bidons, ou simples liens envoyés depuis un contact compromis.

Pour un utilisateur, le scénario ressemble à une conversation classique.

GM. There is a WhatsApp virus that could steal your mobile crypto wallet 👇🏼 "To stay safe from Eternidade Stealer, avoid opening unknown attachments in WhatsApp. It doesn't infect just by receiving a message, you must download and execute the malicious file (like a VBS script)… pic.twitter.com/02mAyUsK2K — Felipe Servin ⚡️ (@fservin) November 20, 2025

La différence tient dans un clic de trop. Les chercheurs rappellent que WhatsApp reste l’un des canaux les plus exploités par la cybercriminalité au Brésil.

Un trojan bancaire qui aime aussi la crypto

Derrière le lien cliqué se cache un enchaînement discret. Le ver s’installe d’abord sur l’appareil, prend le contrôle du compte WhatsApp de la victime et récupère la liste de contacts.

Il applique un filtrage pour éviter les comptes professionnels ou certains groupes, afin de cibler surtout des personnes physiques qui auront plus tendance à cliquer sans se méfier. En parallèle, un fichier malveillant est téléchargé sur le terminal.

C’est lui qui déploie Eternidade Stealer, un trojan bancaire déjà connu, ajusté ici pour le contexte brésilien.

Concrètement, cela peut toucher des applications de banque en ligne, des passerelles de paiement ou les applis d’exchange et de wallets que l’utilisateur ouvre au quotidien.

Une architecture pensée pour éviter le shutdown

L’un des aspects qui inquiète le plus les chercheurs concerne la manière dont le malware communique avec son centre de commande. Au lieu d’utiliser un serveur fixe, facilement bloquable, la campagne s’appuie sur un compte Gmail préconfiguré.

Le logiciel se connecte à cette boîte mail avec des identifiants codés en dur, récupère les instructions et l’adresse de son serveur de contrôle dans les messages reçus. Ce choix offre plusieurs avantages aux attaquants.

🚨 A new WhatsApp worm is spreading fast in Brazil. It hijacks chats, sends fake messages to all your contacts, and installs a program that steals bank and crypto logins. … and it updates itself through an email inbox to stay hidden. Read here ↓ https://t.co/YuJ9pgC8rg — The Hacker News (@TheHackersNews) November 19, 2025

Ils peuvent changer les commandes simplement en envoyant un nouveau mail. La communication se fond dans un trafic chiffré banal aux yeux de nombreux systèmes de détection.

Et si la connexion à cette adresse échoue, le malware dispose en plus d’une adresse de secours intégrée dans son code. Pour les équipes de sécurité réseau, cette approche complique le travail.

Il ne suffit plus de couper un seul domaine ou une seule IP. Le trafic a l’air légitime, passe par des services courants, et le malware reste capable de s’adapter.

Comment limiter le risque sur WhatsApp et ailleurs

Pour les utilisateurs, le premier filtre reste comportemental. Tout lien reçu sur WhatsApp, même envoyé par un ami ou un membre de la famille, doit être considéré comme suspect s’il arrive sans contexte clair ou avec un message trop générique.

Éviter de stocker de gros montants sur un téléphone ou un navigateur peu sécurisé. Ne jamais conserver sa seed phrase en clair dans une note, un email ou un cloud synchronisé.

Séparer les montants « du quotidien » de l’épargne de long terme, idéalement sur un hardware wallet. En cas de doute ou de compromission avérée, la réaction doit être rapide. Blocage des accès bancaires, contact immédiat avec les plateformes utilisées et migration des fonds vers de nouveaux wallets.

Plus l’intervalle entre la fuite et la réaction est court, plus les chances de limiter la casse augmentent. L’épisode du ver WhatsApp brésilien ne révèle pas une nouvelle faiblesse technique propre à la blockchain.

Il rappelle surtout que le maillon le plus fragile reste souvent l’utilisateur et son appareil. Les outils de sécurité progressent, mais les campagnes d’ingénierie sociale aussi.

