Publié le 1 avril 2022, modifié le 1 avril 2022.
Par La Rédaction

Vol de crypto-monnaies ciblant Android et iPhone

Publié le 1 avril 2022, modifié le 1 avril 2022.
Par La Rédaction
Création : servicesmobiles

Création : servicesmobiles

Des attaquants ont diffusé des applications malveillantes via des sites légitimes et de faux sites web, ainsi que des groupes Telegram et Facebook.

La criminalité autour de la crypto est en augmentation, surtout depuis le début de la pandémie. En 2021, les cybercriminels ont directement volé un record de 3,2 milliards de dollars américains de crypto-monnaie, selon Chainalysis, c’est une multiplication par cinq par rapport à 2020.

ESET Research a découvert et remonté la piste d’une campagne de vol de crypto-monnaie sophistiquée, qui cible les appareils mobiles Android ou iOS (iPhones). Les applications malveillantes sont diffusées via de faux sites web, imitant des services de portefeuille légitimes tels que Metamask, Coinbase, Trust Wallet, TokenPocket, Bitpie, imToken et OneKey. Ces faux sites web sont promus par des publicités placées sur des sites légitimes à l’aide d’articles trompeurs. Les pirates recrutent des intermédiaires via des groupes Telegram et Facebook afin de diffuser le programme malveillant. L’objectif principal de ces applications malveillantes est de voler les fonds des utilisateurs et, jusqu’à présent, ESET a constaté que cette campagne visait principalement des utilisateurs chinois. Comme les crypto–monnaies gagnent en popularité, l’entreprise s’attend à ce que ces techniques se répandent à travers le monde, un utilisateur averti aura donc une vigilance particulière…

Depuis mai 2021, nos recherches ont permis de découvrir des dizaines d’applications de portefeuille de crypto-monnaies infectées par des chevaux de Troie. Il s’agit d’un vecteur d’attaque sophistiqué, car l’auteur du malware a procédé à une analyse approfondie des applications légitimes, ce qui lui a permis d’insérer son propre code malveillant à des endroits où il serait difficile de le détecter, tout en veillant à ce que ces applications modifiées aient les mêmes fonctionnalités que les applications d’origine. Pour l’instant, ESET Research estime qu’il s’agit probablement de l’œuvre d’un groupe criminel.

Ces applications malveillantes représentent également une autre menace pour les victimes, car certaines d’entre elles envoient des phrases secrètes de la victime au serveur des attaquants en utilisant une connexion HTTP non sécurisée. Cela signifie que les fonds des victimes peuvent être volés non seulement par l’opérateur de cette campagne, mais également par un autre attaquant qui espionnerait le même réseau, explique Lukáš Štefanko, le chercheur d’ESET qui a découvert la campagne. Ils ont également découvert 13 applications malveillantes se faisant passer pour le portefeuille Jaxx Liberty. Ces applications étaient disponibles dans Google Play store.

Sur Telegram, ESET a découvert des dizaines de groupes d’utilisateurs faisant la promotion de versions malveillantes de portefeuilles mobiles de cryptomonnaies. Nous supposons que ces groupes ont été créés par les auteurs du projet, à la recherche de nouveaux moyens de distribution, et ce, depuis mai 2021. À partir d’octobre 2021, nous avons constaté que ces groupes Telegram étaient partagés et promus dans au moins 56 groupes Facebook ayant le même objectif, à savoir rechercher davantage de moyens de distribution. En novembre 2021, nous avons repéré la diffusion de portefeuilles malveillants utilisant deux sites web chinois légitimes.

iOS

Outre ces vecteurs de distribution, nous avons découvert des dizaines d’autres sites de portefeuilles contrefaits ciblant exclusivement des utilisateurs mobiles. Une visite sur l’un de ces sites web incite la victime à télécharger une application de portefeuille infectée par un cheval de Troie pour Android ou iOS. L’application malveillante se comporte différemment selon le système d’exploitation sur lequel elle a été installée. Sur Android, elle semble cibler les nouveaux utilisateurs de crypto-monnaies qui n’ont pas encore d’application de portefeuille installée sur leur appareil. Sur iOS, la victime peut avoir installé les deux versions, la version légitime depuis l’App Store et la version malveillante depuis un site web.

En ce qui concerne iOS, les applications malveillantes ne sont pas disponibles sur l’App Store ; elles doivent être téléchargées et installées à l’aide de profils de configuration, qui ajoutent un certificat arbitraire de signature de code de confiance. En ce qui concerne Google Play, suite à notre demande en tant que partenaire Google App Defense Alliance, en janvier 2022, Google a supprimé 13 applications malveillantes trouvées sur la boutique officielle.

Il semble également que le code source de cette menace ait été divulgué et partagé sur quelques sites web chinois, ce qui pourrait attirer d’autres pirates et propager encore plus cette menace. Au moment de la publication, le prix du bitcoin a diminué de près de la moitié par rapport à son sommet historique il y a environ quatre mois. Pour les investisseurs en crypto-monnaies, c’est le moment soit de paniquer et de retirer leurs fonds, soit pour les nouveaux venus de sauter sur l’occasion et d’acheter des crypto-monnaies à un prix plus bas. Si vous appartenez à l’un de ces groupes, vous devez choisir avec soin l’application mobile pour gérer vos fonds !

Lire aussi