La Coupe du Monde 2026 débute le 11 juin. Mais pour les cybercriminels, la compétition a déjà commencé. Des chercheurs en sécurité ainsi que le FBI ont alerté ces derniers jours sur une vague de fraudes ciblant spécifiquement les terminaux mobiles des fans.
Un pic d'applications de streaming malveillantes, imitant notamment le populaire RojaDirecta, avait été observé autour de la récente finale de Champions League, et les chercheurs s'attendent à une répétition à plus grande échelle pendant la Coupe du Monde.
En effet, depuis plusieurs mois, les trojans bancaires Android déguisés en applications de streaming se multiplient. En février 2026, le trojan Massiv a été identifié dans de fausses applications ciblant la France, l'Espagne, le Portugal et la Turquie. Les applications imitent l'interface de services légitimes tout en superposant de faux écrans de connexion bancaire, en enregistrant les frappes clavier et en prenant le contrôle du terminal à distance.
En mars, un trojan plus avancé, Perseus, a également été découvert. Basé sur le code source du célèbre Cerberus, il pousse l'espionnage encore plus loin : en plus des capacités classiques de vol bancaire, Perseus lit le contenu des applications de notes (Google Keep, Samsung Notes, Evernote, OneNote…) pour y extraire mots de passe et phrases de récupération crypto.
Et en mai 2026, un autre malware, BTMOB, a encore été identifié dans des fausses applications de streaming proposant l'accès aux matchs de la Coupe du Monde. Distribué cette fois comme un malware-as-a-service, il rend ce type d'attaque accessible à des cybercriminels sans compétences techniques avancées.
Les campagnes de phishing se multiplient également à l'approche de la Coupe du Monde. Près de 19 000 domaines contenant des références à FIFA ont été créés depuis janvier 2026, alimentant des campagnes de phishing conçues pour collecter identifiants et informations de paiement des fans à la recherche de billets et de merchandising.
Au centre de cette infrastructure, un groupe baptisé Ghost Stadium opère plus de 300 sites de phishing utilisant un kit unique qui reproduit à l'identique le système d'authentification de FIFA. Les pages chargent les images directement depuis les serveurs officiels de FIFA, les rendant quasiment indétectables.
Quand la victime entre ses identifiants, l'attaquant les capture et déclenche simultanément une réinitialisation de mot de passe pour verrouiller le compte réel, lui permettant de revendre les tickets légitimes associés.
Les fausses applications et les liens de phishing sont distribués via des campagnes massives sur les réseaux sociaux. Plus de 1 700 faux comptes FIFA ont été identifiés, dont près de 90 % sur Facebook et Instagram. Des publications sponsorisées promeuvent de fausses offres de streaming, des paris "gratuits", ou des emplois fictifs liés à la Coupe du Monde.
Sur Telegram, des groupes de revente de faux billets redirigent vers des portails de paiement frauduleux. Dans tous les cas, le mécanisme est le même : un lien qui fait sortir la victime de l'application sociale vers un site externe malveillant : un faux portail FIFA, une page de téléchargement d'APK infecté, ou un formulaire de paiement frauduleux.
Les attaques liées à la Coupe du Monde exploitent les mêmes vecteurs que les menaces mobiles quotidiennes, mais à une échelle et une intensité décuplée.
Pradeo Mobile Threat Defense protège les terminaux mobiles contre chacun de ces vecteurs :
Les grands événements sportifs sont des accélérateurs de menaces mobiles. 150 millions de demandes de tickets pour 6 millions de places, des millions de fans cherchant des streams sur leur smartphone, une urgence et une rareté qui poussent à agir vite, les conditions idéales pour les cybercriminels. Pour les organisations dont les collaborateurs utilisent leurs terminaux professionnels en dehors du bureau, la période qui s'ouvre est à risque.