Accueil / IT Business / Cybersécurité / Besoin d’un portemonnaie pour vos cryptomonnaies, attention à ces logiciels malveillants

Besoin d’un portemonnaie pour vos cryptomonnaies, attention à ces logiciels malveillants

ESET Research a découvert un schéma sophistiqué de distribution d’applications Android et iOS trojanisées, imitant des portemonnaies électroniques populaires.

Le prix du bitcoin (20 558,07 €) a diminué d’environ 69 % par rapport à son niveau record d’il y a environ sept mois. Pour les investisseurs en crypto-monnaie, cela pourrait être le moment de paniquer et de retirer leurs fonds, ou pour les nouveaux arrivants de sauter sur cette occasion et d’acheter de la crypto-monnaie à un prix attractif. Si vous appartenez à l’un de ces groupes, vous devez choisir avec soin l’application mobile à utiliser pour gérer vos fonds.

ESET Research a identifié plus de 40 sites Web usurpant des portemonnaies (wallets) de crypto-monnaie populaires. Ces sites Web ciblent uniquement les utilisateurs mobiles et leur proposent de télécharger des applications de wallets malveillantes. ESET a pu retracer le vecteur de distribution de ces wallets de crypto-monnaie trojanisés, ainsi que la création de plusieurs groupes Telegram qui ont commencé à rechercher des partenaires affiliés. Peu de temps après, ESET a constaté que ces groupes « Telegram » étaient partagés et promus dans au moins 56 groupes Facebook, avec le même objectif : rechercher davantage de partenaires de distribution.

Différences de comportement sur iOS et Android

L’application malveillante se comporte différemment selon le système d’exploitation sur lequel elle a été installée. Sur Android, elle semble cibler les nouveaux utilisateurs de crypto-monnaie qui n’ont pas encore d’application de wallet légitime installée sur leurs appareils. Les wallets infectés par des chevaux de Troie ont le même nom de package que les applications légitimes ; cependant, ils sont signés à l’aide d’un certificat différent. Sur iOS, la victime peut avoir les deux versions installées – celle légitime de l’App Store et celle malveillante d’un site Web – car elles ne partagent pas le même Bundle ID.

Pour les appareils Android, les sites offraient la possibilité de télécharger directement l’application malveillante à partir de leurs serveurs même lorsque l’utilisateur cliquait sur le bouton « Télécharger sur Google Play ». Une fois téléchargée, l’application doit être installée manuellement par l’utilisateur. Concernant iOS, ces applications malveillantes ne sont pas disponibles sur l’App Store ; ils doivent être téléchargés et installés à l’aide de profils de configuration, qui ajoutent un certificat de signature de code de confiance arbitraire. 

Découvertes d’ESET Research

Pour les deux plates-formes, les applications téléchargées se comportent comme des wallets entièrement fonctionnels. Cela est possible car les attaquants ont pris les applications de wallets légitimes et les ont compilées en y ajoutant un code malveillant. Le reconditionnement de ces applications de wallet légitimes devait être effectué manuellement, sans utiliser d’outils automatisés. ESET Research a découvert que le code source du front-end et du back-end, ainsi que les applications mobiles recompilées et corrigées incluses dans ces systèmes de wallets malveillants, ont été partagés publiquement sur au moins cinq sites Web chinois et dans quelques groupes Telegram en novembre 2021.

A la demande d’ESET en tant que partenaire de Google App Defense Alliance , en janvier 2022, Google a supprimé 13 applications malveillantes trouvées sur le Google Play Store qui se faisaient passer pour l’application légitime Jaxx Liberty Wallet ; elles ont été installés plus de 1 100 fois. L’une des applications de cette liste utilisait un faux site Web imitant Jaxx Liberty comme vecteur de distribution.

Prévention et désinstallation des logiciels malveillants

Le cas d’Android :

–          Les chercheurs d’ESET conseillent fréquemment aux utilisateurs de télécharger et d’installer des applications uniquement à partir de sources officielles.

–          Une solution de sécurité mobile fiable devrait être capable de détecter cette menace sur un appareil Android (Par exemple, les produits ESET détectent cette menace comme Android/FakeWallet).

–          Dans le cas de Google Play Store, ESET s’engage à protéger davantage l’écosystème mobile, en s’associant à d’autres fournisseurs de sécurité et à Google dans l’App Defense Alliance pour aider à la vérification des applications soumises pour inscription sur Google Play.

Sur un appareil iOS, la nature du système d’exploitation permet à une application de communiquer avec d’autres applications uniquement de manière très limitée. C’est pourquoi pour iOS, aucune solution de sécurité n’est proposée, car ils ne pourraient s’auto-scanner.

À l’avenir, nous pourrions nous attendre à une expansion de cette menace, car les cyber criminels recrutent des intermédiaires via les groupes Telegram et Facebook pour diffuser davantage ces logiciels malveillants, en leur offrant un pourcentage de la crypto-monnaie volée dans les wallets.

ESET aimerait rappeler aux investisseurs en crypto-monnaies, principalement les nouveaux arrivants, à rester vigilant et à n’utiliser que des wallets mobiles officiels et des applications d’échange, téléchargées à partir des stores d’applications officiels. Nous tenons à rappeler aux utilisateurs d’appareils iOS les dangers d’accepter des profils de configuration provenant de tout sauf des sources les plus fiables.

A voir

La campagne d’influence pro-RPC DRAGONBRIDGE cible les sociétés minières de terres rares pour tenter de contrecarrer la rivalité avec la domination du marché chinois.

Depuis juin 2019, Mandiant a signalé à ses clients une campagne d'influence connue sous le nom de DRAGONBRIDGE....