Le 28 janvier 2026 — ESET Research a découvert une campagne de logiciels espions Android utilisant l'escroquerie sentimentale pour cibler des individus au Pakistan. Cette campagne utilise une appli malveillante qui se fait passer pour une plateforme de messagerie permettant d'initier des conversations via WhatsApp. Cette façade sentimentale cache le vrai but de l’appli, baptisé GhostChat par ESET, qui est l'exfiltration des données des victimes. Le même acteur semble mener une opération d'espionnage plus vaste, avec une attaque ClickFix compromettant les ordinateurs des victimes et une attaque de liaison d'appareils WhatsApp permettant d'accéder à leurs comptes WhatsApp, ce qui étend le champ de la surveillance. Ces attaques utilisent des sites usurpant l'identité d'organisations gouvernementales pakistanaises. Les victimes se procurent GhostChat auprès de sources inconnues ; son installation est manuelle, l'appli n'a jamais été disponible sur Google Play. Google Play Protect, activé par défaut, la protège.
«Cette campagne utilise une tromperie inédite : de faux profils féminins sur GhostChat sont présentés aux victimes potentielles comme étant verrouillés et nécessitant un code pour y accéder. Ces codes étant intégrés au code de l’appli, il s’agit d’une simple technique d’ingénierie sociale visant à créer l’illusion d’un accès exclusif », explique Lukáš Štefanko, le chercheur d’ESET qui a découvert la campagne. Et il ajoute :« Notre enquête démontre une campagne d’espionnage bien ciblée et multiforme, visant des utilisateurs au Pakistan ».
L'appli utilise l'icône d'une appli de rencontre légitime, mais n'en possède pas les fonctionnalités. Elle sert d'appât et d'outil d'espionnage sur appareils mobiles. Une fois connectées, les victimes se voient proposer une sélection de 14 profils féminins ; chaque profil est lié à un numéro WhatsApp spécifique avec +92, l'indicatif pakistanais. L'utilisation de numéros locaux renforce l'illusion que les profils correspondent à de vraies personnes résidant au Pakistan, pour plus de crédibilité. Après avoir saisi le code correct, l'appli redirige l'utilisateur vers WhatsApp pour entamer une conversation avec le numéro attribué géré par l'escroc.
Alors que la victime utilise l'appli, et même avant sa connexion, le logiciel GhostChat s'exécute déjà en arrière-plan, surveillant discrètement l'activité de l'appareil et exfiltrant des données sensibles vers un serveur de commande et de contrôle. En plus de cette exfiltration, GhostChat se livre à un espionnage actif : il configure un observateur de contenu pour surveiller les nouvelles images créées et les télécharger dès leur apparition. Il programme aussi une tâche qui, toutes les cinq minutes, analyse l'appareil à la recherche de nouveaux documents et assure donc une surveillance et une collecte de données en continu.
Cette campagne est aussi liée à une infrastructure plus vaste impliquant la diffusion de maliciels via ClickFix et le piratage de comptes WhatsApp. Ces opérations exploitent de faux sites web, l'usurpation d'identité d'autorités nationales et des techniques trompeuses de connexion d'appareils par code QR pour compromettre tant les plateformes de bureau que mobiles. ClickFix est une technique d'ingénierie sociale incitant les utilisateurs à exécuter manuellement un code malveillant sur leurs appareils en suivant des instructions d’apparence légitimes.
En plus du ciblage des ordinateurs par l'attaque ClickFix, un domaine malveillant a été utilisé dans une opération mobile visant les utilisateurs de WhatsApp. Les victimes étaient incitées à rejoindre une fausse communauté, qui se faisait passer pour un canal du ministère de la Défense pakistanais, en scannant un code QR pour connecter leur appareil, Android ou iPhone, à WhatsApp Web ou à Desktop. Connue sous le nom de GhostPairing, cette technique permet d'accéder à l'historique des conversations et aux contacts des victimes, fournissant le même niveau de visibilité et de contrôle sur le compte que les propriétaires et compromettant leurs communications privées.
Pour une analyse plus détaillée de GhostChat, consultez le dernier blog d’ESET Research “Love? Actually: Fake dating app used as lure in targeted spyware campaign in Pakistan” sur
www.wlivesecurity.com . Suivez également ESET Research sur Twitter (today known as X), BlueSky, et Mastodon pour les toutes dernières nouvelles.
A propos d’ESET
ESET® propose une cybersécurité de pointe pour prévenir les attaques avant qu'elles ne se produisent. En combinant la puissance de l'IA et l'expertise humaine, ESET anticipe les cybermenaces mondiales émergentes, connues et inconnues, sécurisant les entreprises, les infrastructures critiques et les particuliers. Qu'il s'agisse de protection de terminaux, du cloud ou d’appareils mobiles, ses solutions et services cloud, basés sur l'IA, sont hautement efficaces et d’une utilisation facile. La technologie ESET comprend une détection et une réponse robustes, un chiffrement ultra-sécurisé et une authentification multifacteur. Grâce à une défense en temps réel 24/7 et à un support local performant, ESET assure la sécurité des utilisateurs et la continuité des activités des entreprises. L'évolution constante du paysage numérique exige une approche progressive de la sécurité. ESET est engagé dans une recherche de pointe et une veille stratégique sur les menaces, avec le soutien de ses centres de R&D et un solide réseau de partenaires au niveau mondial. Pour plus d'informations, rendez-vous sur
www.eset.com/ ou suivez nos réseaux sociaux, podcasts, blogs et
https://www.est.com/be-fr/