Des chercheurs en cybersécurité ont découvert une campagne coordonnée utilisant 131 extensions clonées d’automatisation de WhatsApp Web pour envoyer du spam aux utilisateurs au Brésil. Selon l’entreprise de sécurité de la chaîne d’approvisionnement Socket, toutes ces extensions partagent le même code, des modèles de conception et une infrastructure similaires, et comptent environ 20 905 utilisateurs actifs.
Des extensions qui ne sont pas malveillantes, mais qui peuvent faire du mal
Les extensions, qui ne sont pas des malwares au sens classique, sont considérées comme à haut risque en raison de leur capacité à abuser des règles des plateformes, en injectant du code directement dans la page de WhatsApp Web. Cela permet l’automatisation de l’envoi massif de messages sans la confirmation de l’utilisateur, dans le but d’éviter les limitations de taux et les contrôles anti-spam de WhatsApp. L’activité est en cours depuis au moins neuf mois, avec des mises à jour récentes observées le 17 octobre 2025.
Des recherches révèlent que la plupart des extensions ont été publiées par « WL Extensão », suggérant que les différences de noms et de logos sont liées à un modèle de franchise. Ce modèle permet aux affiliés d’inonder le Chrome Web Store avec diverses copies de l’extension originale proposée par DBX Tecnologia. Ces extensions sont commercialisées comme des outils de gestion de la relation client (CRM), promouvant l’optimisation des ventes via WhatsApp Web.
DBX Technologie, l’entreprise derrière ces extensions, propose un programme de marque blanche qui promet aux affiliés des revenus récurrents significatifs en investissant 12 000 R$. Cependant, cette procédure enfreint les politiques de spam et d’abus de la Chrome Web Store de Google, qui interdit la publication d’extensions dupliquées. On a même observé que DBX Technologie produit des vidéos sur YouTube sur comment contourner les algorithmes anti-spam de WhatsApp, ce qui implique une approche consciente de ces pratiques.
On peut soupçonner que cet écosystème de clonage et de spam vient juste de commencer à attirer l’attention des entreprises de sécurité, dans un contexte où une campagne à grande échelle liée à un ver WhatsApp distribuant un cheval de Troie bancaire connu sous le nom de Maverick a également été identifiée.
