Des recherches menées par la société de cybersécurité ESET ont révélé un « système sophistiqué » qui diffuse des applications de type cheval de Troie déguisées en portefeuilles de cryptomonnaies populaires.
Le logiciel malveillant cible les appareils mobiles utilisant les systèmes d’exploitation Android ou Apple (iOS) qui sont compromis si l’utilisateur télécharge une fausse application.
Selon les recherches d’ESET, ces applications malveillantes sont distribuées par le biais de faux sites Web et imitent des portefeuilles de cryptomonnaies légitimes, notamment MetaMask, Coinbase, Trust Wallet, TokenPocket, Bitpie, imToken et OneKey.
La société a également découvert 13 applications malveillantes imitant le portefeuille Jaxx Liberty, disponible sur le Google Play Store. Google a depuis supprimé les applications incriminées, qui ont été installées plus de 1 100 fois, mais il y en a encore beaucoup d’autres qui se cachent sur d’autres sites Web et médias sociaux.
Les responsables de cette menace ont diffusé leurs produits par l’intermédiaire de groupes sur les médias sociaux Facebook et Telegram, dans le but de voler des actifs crypto à leurs victimes. ESET affirme avoir découvert « des dizaines d’applications de type cheval de Troie déguisées en portefeuille de cryptomonnaies », depuis mai 2021. L’entreprise a également déclaré que ce stratagème, qu’elle pense être l’œuvre d’un seul groupe, ciblait principalement les utilisateurs chinois via des sites Web chinois.
Lukáš Štefanko, le chercheur qui a découvert le stratagème, a déclaré qu’il existait d’autres vecteurs de menace, comme l’envoi de phrases d’amorçage au serveur du pirate via des connexions non sécurisées, ajoutant :
" Cela signifie que les fonds des victimes pourraient être volés non seulement par l’opérateur de ce stratagème, mais aussi par un autre pirate présent sur le même réseau. »
Les fausses applications de portefeuille se comportent un peu différemment selon l’endroit où elles sont installées. Sur Android, elles ciblent une nouvelle cryptomonnaie que l’utilisateur n’a peut-être jamais négociée auparavant, l’incitant à installer le portefeuille approprié. Sur iOS, les applications doivent être téléchargées à l’aide de certificats de signature de code arbitraires et fiables qui contournent l’App Store d’Apple. Cela signifie que l’utilisateur peut avoir deux portefeuilles installés simultanément, le vrai et le cheval de Troie, mais cela représente une menace moindre puisque la plupart des utilisateurs se fient à la vérification de l’App Store pour leurs applications.
Voir aussi : Hodlers, attention ! Un nouveau logiciel malveillant cible MetaMask et 40 autres portefeuilles de cryptomonnaies
ESET conseille aux investisseurs et aux traders en cryptomonnaies de n’installer que des portefeuilles provenant de sources fiables et liés au site officiel de l’exchange ou de la société.
En février, Google Cloud a dévoilé le système Virtual Machine Threat Detection (VMTD), qui recherche et détecte les logiciels malveillants de « cryptojacking » conçus pour détourner les ressources afin de miner des actifs numériques.
Selon un rapport de Chainalysis publié en janvier, le cryptojacking a représenté 73 % de la valeur totale reçue par les portefeuilles et adresses liés aux logiciels malveillants entre 2017 et 2021.