Des publicités YouTube vendent des SMS blasters usurpant les opérateurs philippins Smart et Globe

🗓️ Contexte

Article publié le 25 mai 2026 sur Commsrisk par Eric Priezkalns. Il documente la présence persistante de publicités pour des SMS blasters (fausses stations de base) sur YouTube, avec un cas particulièrement flagrant ciblant les Philippines.

📡 Équipement et canal de distribution

Une vidéo intitulée “SMS Auto Blaster”, publiée le 30 octobre 2025 sur la chaîne YouTube “SMS Broadcast Software Free”, fait la promotion de fausses stations de base de fabrication chinoise. La description de la chaîne mentionne explicitement les termes “Pseudo base station” et “sms broadcasting system”. Les liens du profil renvoient vers deux sites en chinois proposant des “Carrier-grade fake base stations”, des “5G fake base station” et des “4G fake base station”. Le profil affiche également un canal Telegram du vendeur.

🎯 Contenu malveillant démontré

La vidéo montre des exemples concrets de messages de smishing usurpant deux opérateurs philippins majeurs :

• Smart Communications (~60 millions d’abonnés) : message de faux programme de fidélité avec URL https://bpisui.xin/ph
• Globe Telecom (~60 millions d’abonnés) : trois messages distincts usurpant la marque Globe, dont :
  • Un message lié au service GCash et à l’application GlobeOne, référençant le forfait Go59
  • Un message de faux cashback avec URL https://glbeacc.top/yn

Le contenu textuel des messages a été confirmé par Gemini, le propre LLM de Google, utilisé pour analyser la vidéo.

🌏 Contexte géographique et criminel

Les Philippines sont identifiées comme un pays particulièrement touché par les SMS blasters (troisième mondial après la Chine et le Vietnam). Les TLD utilisés dans les URLs malveillantes (xin, top) sont associés à des opérateurs chinois, et yn correspond au domaine de la province du Yunnan en Chine, suggérant une origine criminelle liée à des gangs cybercriminels chinois.

🏢 Inaction de Google

Malgré des signaux d’alerte évidents (titre, description, liens externes, photo de profil), Google n’a pas retiré la vidéo. L’auteur documente l’incapacité ou le refus de Google d’agir, en contraste avec ses capacités techniques avérées (crawl multilingue, OCR, IA).

📰 Type d’article

Article de presse spécialisée à visée investigative, documentant une campagne active de promotion d’équipements de fraude télécom sur une plateforme grand public, avec extraction d’IOCs concrets issus de la vidéo incriminée.

🧠 TTPs et IOCs détectés

TTP

• T1566.004 — Phishing: SMS Phishing (Smishing) (Initial Access)
• T1598 — Gather Victim Identity Information (Reconnaissance)
• T1583.001 — Acquire Infrastructure: Domains (Resource Development)

IOC

• Domaines : bpisui.xin — VT · URLhaus · ThreatFox
• Domaines : glbeacc.top — VT · URLhaus · ThreatFox
• URLs : https://bpisui.xin/ph — URLhaus
• URLs : https://glbeacc.top/yn — URLhaus

Malware / Outils

• SMS Blaster / Fake Base Station (other)

🟡 Indice de vérification factuelle : 50/100 (moyenne)

• ⬜ commsrisk.com — source non référencée (0pts)
• ✅ 11724 chars — texte complet (fulltext extrait) (15pts)
• ✅ 4 IOCs (IPs/domaines/CVEs) (10pts)
• ⬜ 0/4 IOCs confirmés externellement (0pts)
• ✅ 3 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://commsrisk.com/youtube-sms-blaster-ad-displays-scam-messages-that-impersonate-telcos/?utm_source=substack&utm_medium=email