Passer au contenu

Attention, une campagne de vol de cryptomonnaie cible les appareils Android et iOS !

ESET Research a récemment découvert et remonté la piste d’une campagne de vol de cryptomonnaie sophistiquée, qui cible les appareils mobiles Android ou iOS (iPhones).

En effet, ces applications malveillantes sont diffusées via de faux sites web, imitant des services de portefeuille légitimes tels que Metamask, Coinbase, Trust Wallet, TokenPocket, Bitpie, imToken et OneKey. Ces faux sites web sont promus par des publicités placées sur des sites légitimes à l’aide d’articles trompeurs. Les pirates recrutent des intermédiaires via des groupes Telegram et Facebook afin de diffuser le programme malveillant. L’objectif principal de ces applications malveillantes est de voler les fonds des utilisateurs et, jusqu’à présent, ESET Research a constaté que cette campagne visait principalement des utilisateurs chinois. Comme les cryptomonnaies gagnent en popularité, il faut s’attendre à ce que ces techniques se répandent à travers le monde.

Depuis mai 2021, les recherches ont permis de découvrir des dizaines d’applications de portefeuille de cryptomonnaies infectées par des chevaux de Troie. Il s’agit d’un vecteur d’attaque sophistiqué, car l’auteur du malware a procédé à une analyse approfondie des applications légitimes, ce qui lui a permis d’insérer son propre code malveillant à des endroits où il serait difficile de le détecter, tout en veillant à ce que ces applications modifiées aient les mêmes fonctionnalités que les applications d’origine.

« Ces applications malveillantes représentent également une autre menace pour les victimes, car certaines d’entre elles envoient des phrases secrètes de la victime au serveur des attaquants en utilisant une connexion HTTP non sécurisée. Cela signifie que les fonds des victimes peuvent être volés non seulement par l’opérateur de cette campagne, mais également par un autre attaquant qui espionnerait le même réseau, » explique Lukáš Štefanko, le chercheur d’ESET qui a découvert la campagne. « Nous avons également découvert 13 applications malveillantes se faisant passer pour le portefeuille Jaxx Liberty. Ces applications étaient disponibles dans Google Play store, » ajoute-t-il.

Sur Telegram, il a découvert des dizaines de groupes d’utilisateurs faisant la promotion de versions malveillantes de portefeuilles mobiles de cryptomonnaies. Faisant ainsi supposer que ces groupes ont été créés par les auteurs du projet, à la recherche de nouveaux moyens de distribution, et ce depuis mai 2021. À partir d’octobre 2021, ces groupes Telegram étaient partagés et promus dans au moins 56 groupes Facebook ayant le même objectif, à savoir rechercher davantage de moyens de distribution. En novembre 2021, il a été repéré la diffusion de portefeuilles malveillants utilisant deux sites web chinois légitimes.

Outre ces vecteurs de distribution, des dizaines d’autres sites de portefeuilles contrefaits ciblant exclusivement des utilisateurs mobiles ont été découverts. Une visite sur l’un de ces sites web incite la victime à télécharger une application de portefeuille infectée par un cheval de Troie pour Android ou iOS.

L’application malveillante se comporte différemment selon le système d’exploitation sur lequel elle a été installée. Sur Android, elle semble cibler les nouveaux utilisateurs de cryptomonnaies qui n’ont pas encore d’application de portefeuille installée sur leur appareil. Sur iOS, la victime peut avoir installé les deux versions ; la version légitime depuis l’App Store et la version malveillante depuis un site web.

En ce qui concerne iOS, les applications malveillantes ne sont pas disponibles sur l’App Store ; elles doivent être téléchargées et installées à l’aide de profils de configuration, qui ajoutent un certificat arbitraire de signature de code de confiance. En ce qui concerne Google Play, en janvier 2022, Google a supprimé 13 applications malveillantes trouvées sur la boutique officielle.

Malheureusement, le code source de cette menace aurait été divulgué et partagé sur quelques sites web chinois, ce qui pourrait attirer d’autres pirates et propager encore plus cette menace.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

Mode