Une campagne de vol de cryptomonnaies ciblant Android et iPhone découverte

ESET Research a découvert et remonté la piste d’une campagne de vol de cryptomonnaie sophistiquée, qui cible les appareils mobiles Android ou iOS (iPhones). Les applications malveillantes sont diffusées via de faux sites web, imitant des services de portefeuille légitimes tels que Metamask, Coinbase, Trust Wallet, TokenPocket, Bitpie, imToken et OneKey. Ces faux sites web sont promus par des publicités placées sur des sites légitimes à l’aide d’articles trompeurs. Les pirates recrutent des intermédiaires via des groupes Telegram et Facebook afin de diffuser le programme malveillant. L’objectif principal de ces applications malveillantes est de voler les fonds des utilisateurs et, jusqu’à présent, cette campagne visait principalement des utilisateurs chinois. Comme les cryptomonnaies gagnent en popularité, ces techniques pourraient se répandre à travers le monde.

Depuis mai 2021, nos recherches ont permis de découvrir des dizaines d’applications de portefeuille de cryptomonnaies infectées par des chevaux de Troie. Il s’agit d’un vecteur d’attaque sophistiqué, car l’auteur du malware a procédé à une analyse approfondie des applications légitimes, ce qui lui a permis d’insérer son propre code malveillant à des endroits où il serait difficile de le détecter, tout en veillant à ce que ces applications modifiées aient les mêmes fonctionnalités que les applications d’origine. Pour l’instant, ESET Research estime qu’il s’agit probablement de l’œuvre d’un groupe criminel.

« Ces applications malveillantes représentent également une autre menace pour les victimes, car certaines d’entre elles envoient des phrases secrètes de la victime au serveur des attaquants en utilisant une connexion HTTP non sécurisée. Cela signifie que les fonds des victimes peuvent être volés non seulement par l’opérateur de cette campagne, mais également par un autre attaquant qui espionnerait le même réseau, » explique Lukáš Štefanko, le chercheur d’ESET qui a découvert la campagne. « Nous avons également découvert 13 applications malveillantes se faisant passer pour le portefeuille Jaxx Liberty. Ces applications étaient disponibles dans Google Play store, » ajoute-t-il.

Sur Telegram, l’entreprise a découvert des dizaines de groupes d’utilisateurs faisant la promotion de versions malveillantes de portefeuilles mobiles de cryptomonnaies. « Nous supposons que ces groupes ont été créés par les auteurs du projet, à la recherche de nouveaux moyens de distribution, et ce depuis mai 2021. À partir d’octobre 2021, nous avons constaté que ces groupes Telegram étaient partagés et promus dans au moins 56 groupes Facebook ayant le même objectif, à savoir rechercher davantage de moyens de distribution. En novembre 2021, nous avons repéré la diffusion de portefeuilles malveillants utilisant deux sites web chinois légitimes » peut-on lire dans le communiqué adressé à la presse.

« Outre ces vecteurs de distribution, nous avons découvert des dizaines d’autres sites de portefeuilles contrefaits ciblant exclusivement des utilisateurs mobiles. Une visite sur l’un de ces sites web incite la victime à télécharger une application de portefeuille infectée par un cheval de Troie pour Android ou iOS »

L’application malveillante se comporte différemment selon le système d’exploitation sur lequel elle a été installée. Sur Android, elle semble cibler les nouveaux utilisateurs de cryptomonnaies qui n’ont pas encore d’application de portefeuille installée sur leur appareil. Sur iOS, la victime peut avoir installé les deux versions ; la version légitime depuis l’App Store et la version malveillante depuis un site web.

En ce qui concerne iOS, les applications malveillantes ne sont pas disponibles sur l’App Store ; elles doivent être téléchargées et installées à l’aide de profils de configuration, qui ajoutent un certificat arbitraire de signature de code de confiance. En ce qui concerne Google Play, suite à notre demande en tant que partenaire Google App Defense Alliance, en janvier 2022, Google a supprimé 13 applications malveillantes trouvées sur la boutique officielle.

Il semble également que le code source de cette menace ait été divulgué et partagé sur quelques sites web chinois, ce qui pourrait attirer d’autres pirates et propager encore plus cette menace.

« Au moment de la publication, le prix du bitcoin a diminué de près de la moitié par rapport à son sommet historique il y a environ quatre mois. Pour les investisseurs en cryptomonnaies, c’est le moment soit de paniquer et de retirer leurs fonds, soit pour les nouveaux venus de sauter sur l’occasion et d’acheter des cryptomonnaies à un prix plus bas. Si vous appartenez à l’un de ces groupes, vous devez choisir avec soin l’application mobile pour gérer vos fonds, » conseille M. Štefanko.

Illustration : DR
[cc] Breizh-info.com, 2022, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine.

Cet article vous a plu, intrigué, ou révolté ?

PARTAGEZ L'ARTICLE POUR SOUTENIR BREIZH INFO

Les commentaires sont fermés.

ARTICLES EN LIEN OU SIMILAIRES

Insolite, Société

Art contemporain : Une banane vendue pour 6,2 millions de dollars. Bêtise ou évasion fiscale ?

Découvrir l'article

Local

Vol de cuivre à Montreuil-sur-Ille (35) : un kilomètre de câble arraché dans la nuit de samedi à dimanche

Découvrir l'article

Animaux, Ensauvagement, Justice, RENNES

Rennes. Ils avaient volé un bouc à l’écomusée puis découpé l’animal

Découvrir l'article

Immigration, Justice, Société

Alençon (Normandie) : il vole l’argent d’une asso humanitaire, blesse un policier et se réfugie chez une asso d’aide aux immigrés

Découvrir l'article

MORLAIX

Pays de Morlaix. Attention aux faux vendeurs de calendriers : les conseils de la gendarmerie pour éviter les arnaques aux personnes âgées

Découvrir l'article

QUIMPER

Quatre voleurs de métaux interpellés en flagrant délit dans une usine désaffectée de Quimper

Découvrir l'article

Loudéac

Loudéac : ils appellent les cambrioleurs à rendre le matériel de boxe après des vols et des dégradations

Découvrir l'article

NANTES

Nantes : Toujours plus de vols dans les superettes

Découvrir l'article

ST-BRIEUC

Deux hommes condamnés pour des vols de câbles de cuivre à Guingamp : Un préjudice de 200 000€

Découvrir l'article

NANTES, Sociétal

Nantes. Entre un et 4 ans fermes pour des cambriolages avec des Alfa Roméo volées

Découvrir l'article

PARTICIPEZ AU COMBAT POUR LA RÉINFORMATION !

Faites un don et soutenez la diversité journalistique.

Nous utilisons des cookies pour vous garantir la meilleure expérience sur Breizh Info. Si vous continuez à utiliser le site, nous supposerons que vous êtes d'accord.

Clicky