Les recherches menées par la société de cybersécurité ESET ont découvert un « schéma sophistiqué » qui diffuse des applications de cheval de Troie déguisées en portefeuilles de crypto-monnaie populaires.
Le schéma malveillant cible les appareils mobiles utilisant les systèmes d’exploitation Android ou Apple (iOS) qui sont compromis si l’utilisateur télécharge une fausse application.
Selon ESET rechercheces applications malveillantes sont distribuées via de faux sites Web et imitent des portefeuilles cryptographiques légitimes, notamment MetaMask, Coinbase, Trust Wallet, TokenPocket, Bitpie, imToken et OneKey.
La firme a également découvert 13 applications malveillantes se faisant passer pour le portefeuille Jaxx Liberty, disponible sur le Google Play Store. Google a depuis supprimé les applications incriminées, qui ont été installées plus de 1 100 fois, mais il y en a encore beaucoup d’autres qui se cachent sur d’autres sites Web et plateformes de médias sociaux.
Les acteurs de la menace ont diffusé leurs marchandises via des groupes de médias sociaux sur Facebook et Telegram, dans l’intention de voler des actifs cryptographiques à leurs victimes. ESET prétend avoir découvert « des dizaines d’applications de portefeuille de crypto-monnaie cheval de Troie », remontant à mai 2021. Il a également déclaré que le programme, qui, selon lui, est le travail d’un groupe, ciblait principalement les utilisateurs chinois via des sites Web chinois.
Lukáš Štefanko, le chercheur qui a démêlé le schéma, a déclaré qu’il existait d’autres vecteurs de menace, tels que l’envoi de phrases de départ au serveur de l’attaquant à l’aide de connexions non sécurisées, ajoutant :
« Cela signifie que les fonds des victimes pourraient être volés non seulement par l’opérateur de ce stratagème, mais également par un autre attaquant écoutant sur le même réseau. »
Les fausses applications de portefeuille se comportent légèrement différemment selon l’endroit où elles sont installées. Sur Android, il cible une nouvelle crypto-monnaie que l’utilisateur n’a peut-être pas échangée auparavant, invitant l’utilisateur à installer le portefeuille approprié. Sur iOS, les applications doivent être téléchargées à l’aide de certificats de signature de code de confiance arbitraires contournant l’App Store d’Apple. Cela signifie que l’utilisateur peut avoir deux portefeuilles installés simultanément, le véritable et le cheval de Troie, mais représente moins de menace puisque la plupart des utilisateurs s’appuient sur la vérification de l’App Store pour leurs applications.
En rapport: Méfiez-vous des Hodlers ! Un nouveau malware cible MetaMask et 40 autres portefeuilles cryptographiques
ESET conseille aux investisseurs et aux commerçants de crypto-monnaie de n’installer que des portefeuilles provenant de sources fiables liées au site Web officiel de la bourse ou de l’entreprise.
En février, Google Cloud a dévoilé le système Virtual Machine Threat Detection (VMTD), qui recherche et détecte les logiciels malveillants de « cryptojacking » conçus pour détourner des ressources pour exploiter des actifs numériques.
Selon un rapport Chainalysis de janvier, le cryptojacking représentait 73 % de la valeur totale reçue par les portefeuilles et les adresses liés aux logiciels malveillants entre 2017 et 2021.