Téléchargements dangereux : comment l’engouement pour la Coupe du monde alimente un écosystème mondial de logiciels malveillants mobiles

Par Assaf Morag, chercheur en cybersécurité

Les fans de football du monde entier sont vulnérables aux attaques de logiciels malveillants mobiles, savamment orchestrées par des cybercriminels : une infrastructure mobile à grande échelle et multicouche, combinant paris illégaux, plateformes frauduleuses et diffusion de logiciels malveillants. Les grands événements sportifs constituent régulièrement des cibles privilégiées pour les campagnes de fraude, d’hameçonnage et de logiciels malveillants, et les cybercriminels se mobilisent déjà pour exploiter l’explosion de l’activité en ligne, de l’engagement des fans et des transactions financières liées à la Coupe du Monde de la FIFA 2026. 

Dans cet article, nous nous concentrons sur une étape critique de la chaîne d'attaque : l'infrastructure d'appât conçue pour inciter les utilisateurs à utiliser des applications mobiles malveillantes ou à haut risque. 

À propos de cette série de la Coupe du monde

Les États-Unis, le Canada et le Mexique ont été choisis pour accueillir la Coupe du Monde de la FIFA 2026. Début avril, la liste des 48 équipes qualifiées pour la phase finale était désormais complète. 

Comment les acteurs malveillants réagissent-ils ? Qu’est-ce qui se dessine déjà au sein des communautés du dark web et du deep web ?

Ce blog fait partie de Flare. Série sur la cybercriminalité de la Coupe du monde 2026, une série d'articles de recherche ciblés analysant l'évolution des menaces qui pèsent sur le tournoi. Cette série explore des domaines clés, notamment : infrastructure de phishing, fraude et escroqueries, attaques de vol d'informations, services de streaming illégaux, plateformes de paris illicites, menaces internes et autres activités cybercriminelles visant la Coupe du monde 2026. 

Principales conclusions concernant l'écosystème des logiciels malveillants mobiles de la Coupe du monde

• Flare a identifié une infrastructure massive de logiciels malveillants mobiles comprenant au moins 600 adresses IP hébergeant des milliers de domaines. Tous utilisent un format de modèle uniforme pour diffuser des applications Android malveillantes. L'infrastructure n'est pas spécifique à la FIFA ; elle concerne les paris, les jeux, la productivité, les loisirs et les cryptomonnaies, les thèmes de la Coupe du monde servant d'appât parmi d'autres.
• Une campagne coordonnée en Asie-Pacifique, s'étendant sur 64 adresses IP, cible les utilisateurs sinophones. Cette campagne utilise de fausses applications de paris sportifs, la rotation de domaines, des TLD jetables et des techniques de pression psychologique pour inciter les utilisateurs à télécharger des applications en dehors des plateformes de téléchargement fiables. Elle emploie des chaînes de redirection à plusieurs étapes et demande explicitement aux utilisateurs de désactiver les contrôles de sécurité avant l'installation.
• Des fichiers APK piégés par un cheval de Troie sont distribués sous la marque FIFA. Une application se faisant passer pour une plateforme « FIFA Cryptomonnaies » a été signalée comme un cheval de Troie mobile malveillant par 15 moteurs antivirus sur VirusTotal. Il n'existe aucune cryptomonnaie officielle de la FIFA ; le concept de « FIFA Coin » évoqué dans ces campagnes n'est pas un produit commercialisé.
• Le marketing des technologies sportives est instrumentalisé. La marque et les anciens partenariats de la société de données sportives AYX avec des clubs (Atletico de Madrid, AS Roma) sont utilisés sur des dizaines de domaines pour crédibiliser les entonnoirs de paris et de téléchargement d'applications, brouillant ainsi la frontière entre marketing légitime et infrastructure frauduleuse.

Chasse aux campagnes de logiciels malveillants mobiles liées à FIFA

Nos recherches ont ciblé une étape précise de la chaîne d'attaque : les sites web leurres (pour ordinateurs et appareils mobiles) qui promettent des avantages alléchants et aboutissent au téléchargement d'un logiciel malveillant. Nous avons découvert plusieurs infrastructures actives, dont certaines ciblent spécifiquement les supporters de football.

Campagne de logiciels malveillants mobiles en Asie-Pacifique : 64 adresses IP ciblent les utilisateurs sinophones

La première infrastructure est constituée de 64 adresses IP distinctes, géolocalisées à Hong Kong, hébergeant toutes le même modèle en langue chinoise. Compte tenu du ciblage linguistique et régional, nous estimons que cette campagne cible les utilisateurs sinophones, l'infrastructure étant basée à Hong Kong. Lors de l'accès au site web, les utilisateurs sont redirigés vers une page intermédiaire.

Page d'accueil d'une application mobile malveillante

La page se traduit par : 

« Prévenir les détournements et les pertes

Il est recommandé de télécharger et d'installer l'application.

Nom de domaine facile à retenir

Veuillez prendre une capture d'écran et la sauvegarder afin de pouvoir en profiter à tout moment !

La page de cette séquence utilise la pression psychologique pour inciter les victimes à installer l'application en prétendant qu'elle protégera l'utilisateur contre les logiciels malveillants (comble de l'ironie) et l'aidera à accéder plus rapidement au site web.

Cela révèle des informations sur l'infrastructure sous-jacente à la campagne : elle sert de couche de résilience et de redirection en incitant explicitement les utilisateurs à télécharger une application pour « contourner le blocage », tout en fournissant une liste de domaines régulièrement mise à jour. Il s'agit d'une caractéristique des opérations cybercriminelles sophistiquées : rotation des domaines, utilisation d'extensions jetables (par exemple, .vip) et points d'accès multiples pour maintenir la disponibilité malgré les fermetures. L'intégration de recommandations de navigateurs, d'une interface utilisateur simple et même d'une adresse e-mail de contact renforce l'illusion de légitimité tout en assurant la continuité des opérations des attaquants.

Cliquer sur le bouton vert de téléchargement permet d'accéder à une publicité plus soignée pour les paris.

La page web suivante ressemble à une application de football destinée à attirer les victimes

L'image utilise des visuels de football bien connus, de fausses allégations de « partenariat officiel » et des incitations alléchantes (bonus, taux de victoire élevés) pour créer un sentiment de légitimité et d'urgence. Il s'agit d'une tactique courante : associer une marque sportive reconnaissable à des incitations financières pour inciter les utilisateurs à cliquer, s'inscrire ou télécharger une application. La présence de plusieurs domaines et d'appels à l'action percutants tels que « Télécharger l'appli » ou « Jouer maintenant » indique que l'objectif principal est de faire quitter le web aux utilisateurs pour les amener dans des environnements contrôlés où les mesures de sécurité sont moins strictes.

D'un point de vue linguistique et régional, l'utilisation du chinois suggère un ciblage de segments d'utilisateurs spécifiques ou une affiliation à des réseaux de paris offshore établis, dont beaucoup opèrent dans des environnements peu réglementés. Cependant, les éléments visuels (stars du football mondial, références à la Coupe du Monde) sont volontairement universels, permettant ainsi de réutiliser la même infrastructure dans différentes régions du monde. Combinées à des sites de piratage, à la diffusion via Telegram et aux canaux de malvertising, ces campagnes forment un entonnoir évolutif, de l'acquisition d'utilisateurs à la fraude, en passant par le vol d'identifiants et la potentielle diffusion de logiciels malveillants. Dans le contexte d'événements majeurs comme la Coupe du Monde, cet écosystème devient encore plus efficace, exploitant le buzz et l'urgence pour convertir un grand nombre de victimes.

Infrastructures sportives et technologiques en Asie-Pacifique : 25 adresses IP, intention non concluante

Une infrastructure d'application mobile importante et suspecte a été récemment mise en place. Nous avons observé 25 adresses IP dédiées, toutes pointant vers un domaine nouvellement enregistré (aiyouxisport[.]com[.]cn). Cette infrastructure est hébergée sur les serveurs d'une société d'hébergement américaine, FEDERAL ONLINE GROUP LLC.

Informations d'enregistrement Whois pour le domaine aiyouxisport[.]com[.]cn

Le site web est construit avec le même modèle statique en langue chinoise, présentant une plateforme dédiée qui combine données et statistiques sur le football, étroitement liée à la société chinoise AYX Sport.

Captures d'écran du site web du domaine nouvellement enregistré

En soi, cela n'est pas suspect. AYX est une entreprise basée en Asie, principalement positionnée comme une société de technologies sportives et de divertissement, et certaines publications la présentent également comme à proximité des infrastructures de parisCela la rend pertinente tant du point de vue commercial que de celui de la cybersécurité, notamment dans les scénarios impliquant des escroqueries, du phishing ou de grands événements sportifs où de telles plateformes peuvent être utilisées comme points d'entrée pour instaurer la confiance.

Elle développe des plateformes qui fournissent des données de matchs en direct, du contenu interactif et des expériences basées sur les données aux publics sportifs, en collaborant souvent avec des clubs et des marques pour étendre leur présence sur les marchés asiatiques. 

AYX et l'Atlético de Madrid étaient partenaires officiels entre 2021 et 2023.

AYX et l'AS Roma étaient partenaires officiels entre 2021 et 2022.

Par exemple, si nous recherchons le titre apparaissant sur le modèle de site Web, nous trouvons « 爱游戏体育官网 | 亚洲领先的综合体育竞技与足球数据平台 » (traduit par iGame Sports Official Website), les résultats sont fortement liés à AYX.

Recherche Google pour le titre du modèle de site web

Presque tous ces résultats incluent AYX dans leur nom de domaine (à l'exception du site hébergé par Google). Si nous choisissons le domaine « borussia-ayx[.]com », il pourrait faire référence au Borussia Dortmund, mais nous n'avons trouvé aucun lien officiel entre le club allemand et AYX. Le site web en question est dédié aux paris sportifs et arbore le logo d'AYX.

Le domaine borussia-ayx[.]com mène à un site de paris

Le site sert de passerelle ou de page d'accueil pour les plateformes de jeux d'argent ciblant les utilisateurs sinophones, avec des bannières faisant la promotion de « 欧冠冠军盘 » (marché de paris de la Ligue des champions) et de « 免单55888元 » (un bonus allant jusqu'à ~55 888 RMB), qui sont des messages incitatifs typiques des jeux d'argent.

Nous avons également examiné le site Google qui apparaissait dans la même recherche ci-dessus. Il contenait un lien vers un autre domaine lié à AYX, se présentant comme la « Plateforme officielle de recommandations pour la Coupe du monde 2026 ».

Un site web lié aux paris AYX

En cliquant sur un lien, on était redirigé vers de nombreux autres liens présentant des images de divers joueurs de football emblématiques, actuels et anciens, tels qu'Erling Haaland, Lautaro Martínez et Karim Benzema.

Des images de joueurs de football célèbres utilisées pour promouvoir des sites de paris en ligne

L'une des pages d'accueil comportait un lien permettant de télécharger une application mobile, encourageant les utilisateurs à utiliser un appareil ne contenant pas l'application « Centre national anti-fraude » de Chine pour des raisons de sécurité et de confidentialité.

Les utilisateurs sont encouragés à utiliser des appareils qui n'exécutent pas l'application du Centre national anti-fraude.

La même page contenait des instructions sur la manière de contourner les blocages de téléchargement et d'installation.

Instructions pour désactiver les contrôles réseau avant l'installation

Pour rappel, le Centre national antifraude est une application mobile chinoise de prévention et de signalement des fraudes, développée par le ministère de la Sécurité publique et lancée en mars 2021. Elle bloque les contenus suspects, offre des moyens de signaler les fraudes en ligne et sensibilise le public à la fraude. Ces instructions trompeuses visent assurément à contourner un système de blocage des logiciels malveillants ou des jeux d'argent illégaux.

Nous avons téléchargé le fichier APK et l'avons soumis à VirusTotal. Il n'a pas été indexé par VirusTotal et notre analyse n'a détecté qu'une seule application (par Sophos), la signalant comme potentiellement indésirable ou malveillante. Il est possible que cette application soit inoffensive, ou qu'elle soit particulièrement efficace pour dissimuler des intentions malveillantes et échapper à la détection. 

Détections VirusTotal pour l'APK téléchargé

Campagne opportuniste : Fausse application de cryptomonnaie FIFA

L'une des découvertes intéressantes a été un site web qui encourageait le téléchargement d'une application « Cryptomonnaies-FIFA ».

Site web lié à la cryptomonnaie FIFA proposant un téléchargement infecté par un logiciel malveillant

Nous avons téléchargé le fichier (app.apk ; MD5 : d73aae8b7c3f1dec14ae06a861ac296b) et l'avons soumis à VirusTotal, qui a effectué 15 détections, le marquant comme un cheval de Troie mobile malveillant par la plupart des moteurs.

Détections VirusTotal pour l'APK téléchargé

En utilisant des marqueurs distinctifs de cet échantillon, nous avons étendu nos recherches et identifié une infrastructure massive d'au moins 600 adresses IP différentes, associées à des milliers de domaines, tous au format identique. Il ne s'agit pas d'une infrastructure dédiée à la FIFA, mais d'une infrastructure de distribution de logiciels malveillants pour applications Android non spécifique, couvrant les applications de loisirs, de paris, de productivité, de jeux, et bien d'autres encore, la cryptomonnaie FIFA servant notamment d'appât.

Qu'est-ce que la cryptomonnaie FIFA ?

En 2026, aucune cryptomonnaie FIFA n'a été officiellement lancée, malgré les déclarations publiques de Gianni Infantino, président de la FIFA, en 2025, indiquant que l'organisation étudiait la possibilité d'une « FIFA Coin » mondiale. L'implication actuelle de la FIFA dans la blockchain se concentre sur des initiatives comme FIFA Collect, qui propose des objets de collection numériques et des expériences interactives pour les fans, plutôt qu'un jeton échangeable. Aucune date de lancement n'est confirmée, aucune cryptomonnaie officielle n'est disponible à l'achat, et la plupart des actifs présentés en ligne comme « FIFA Coin » ou similaires sont non officiels, spéculatifs, liés à des arnaques ou à la diffusion de logiciels malveillants, comme dans l'exemple que nous avons trouvé.

Opération crypto liée à la Coupe du monde 2026, très probablement une arnaque (Flare lien vers la publication, inscrivez-vous à essai gratuit (pour y accéder si vous n'êtes pas déjà client)

Les captures d'écran ci-dessus montrent une publicité très alléchante promettant des gains faciles grâce à de petits investissements permettant de percevoir des revenus quotidiens en « CHZ coins », ainsi que des bonus, des récompenses de parrainage et des opportunités de revenus grâce aux NFT sur le thème de la Coupe du Monde. Cette publicité présente les caractéristiques typiques des systèmes de Ponzi liés aux cryptomonnaies : garanties de rendements fixes, recours au parrainage, usurpation d'identité de l'écosystème Chiliz et fonctionnement via des bots Telegram.

Il est temps de détecter et de perturber les campagnes de logiciels malveillants mobiles.

Notre enquête révèle un paysage de menaces à plusieurs niveaux et en évolution rapide, exploitant les thèmes de la Coupe du monde pour attirer des utilisateurs vers des écosystèmes malveillants et parallèles. 

Nous avons identifié des infrastructures à grande échelle, allant de campagnes étroitement coordonnées basées dans la région Asie-Pacifique à des réseaux mondiaux de distribution de logiciels malveillants opportunistes, utilisant toutes des modèles cohérents, des stratégies de rotation de domaine et des leurres psychologiquement conçus. 

Ces campagnes s'appuient fréquemment sur l'image de marque du sport, des partenariats fictifs et des incitations financières pour instaurer la confiance, tout en incitant les utilisateurs à télécharger des applications mobiles en dehors des écosystèmes de confiance. Dans certains cas, ces applications semblent liées à des opérations de paris illégaux ou leurs intentions restent floues, tandis que d'autres sont manifestement malveillantes, notamment des fichiers APK piégés par des chevaux de Troie et déguisés en plateformes de cryptomonnaies ou de fans liées à la FIFA.

L'association d'une image de marque sportive et technologique d'apparence légitime (comme les écosystèmes liés à AYX), de systèmes de paris en ligne et de la diffusion de logiciels malveillants révèle une convergence des infrastructures de fraude, de monétisation et de cybercriminalité opérant à grande échelle. Pour les organisations des secteurs du sport, des médias, de la finance et des services numériques, il est urgent de détecter et de contrer ces campagnes.