Le fabricant d’antivirus et la société de sécurité Internet ESET ont découvert un système de crypto-monnaie malveillant sophistiqué qui cible les utilisateurs mobiles sur Android et iOS depuis mai de l’année dernière.
On pense que le stratagème lui-même est l’œuvre d’un groupe criminel et qu’il utilise des applications malveillantes distribuées via de faux sites Web afin de voler des Bitcoins et d’autres crypto-monnaies à des utilisateurs peu méfiants. Ces applications malveillantes imitent les portefeuilles de crypto-monnaie populaires, notamment Metamask, Coinbase, Trust Wallet, TokenPocket, Bitpie, imToken et OneKey.
Ceux qui sont à l’origine du stratagème utilisent des publicités placées sur des sites Web légitimes avec des articles trompeurs pour promouvoir les faux sites Web qui distribuent ces applications de portefeuille imitées. Cependant, les cybercriminels ont également recruté des intermédiaires via des groupes sur Telegram et Facebook. Alors que l’objectif principal du stratagème est de voler les fonds des utilisateurs, ESET Research a principalement observé que les utilisateurs chinois étaient ciblés, mais avec la popularité croissante des crypto-monnaies, les chercheurs en sécurité de l’entreprise s’attendent à ce que les techniques utilisées se propagent à d’autres marchés.
Le chercheur d’ESET qui a découvert le programme, Lukáš Štefanko, a fourni des informations supplémentaires sur son fonctionnement dans un communiqué de presse, en disant :
« Ces applications malveillantes représentent également une autre menace pour les victimes, car certaines d’entre elles envoient des phrases de départ secrètes de la victime au serveur des attaquants à l’aide d’une connexion HTTP non sécurisée. Cela signifie que les fonds des victimes pourraient être volés non seulement par l’opérateur de ce stratagème, mais également par un autre attaquant écoutant sur le même réseau. Nous avons également découvert 13 applications malveillantes se faisant passer pour le portefeuille Jaxx Liberty. Ces applications étaient disponibles sur le Google Play Store.
Un schéma élaboré
À partir de mai de l’année dernière, les chercheurs en sécurité d’ESET ont découvert des dizaines d’applications de portefeuille de crypto-monnaie trojanisées.
Ce qui distingue ce système des autres escroqueries cryptographiques, c’est le fait que l’auteur du logiciel malveillant a effectué une analyse approfondie des applications cryptographiques légitimes afin d’insérer son propre code malveillant dans des endroits où il serait difficile à détecter. Dans le même temps, ils ont également veillé à ce que les fausses applications qu’ils ont créées aient les mêmes fonctionnalités que les originales.
ESET a trouvé des dizaines de groupes faisant la promotion de copies malveillantes de portefeuilles de crypto-monnaie sur Telegram depuis mai 2021. À partir d’octobre de l’année dernière, ces mêmes groupes Telegram ont été partagés et promus dans au moins 56 groupes Facebook pour rechercher encore plus de partenaires de distribution. Puis en novembre, ESET a repéré ces fausses applications de portefeuille de crypto-monnaie distribuées sur deux sites Web chinois légitimes.
Ces applications malveillantes se comportent également différemment sur Android et iOS. Sur Android, ils ciblent les nouveaux utilisateurs de crypto-monnaie qui n’ont pas encore d’application de portefeuille installée sur leurs appareils tandis que sur iOS, les victimes peuvent avoir à la fois une application de portefeuille légitime et malveillante installée.
Comme le code source de ce stratagème a été divulgué et partagé sur plusieurs sites Web chinois, il pourrait inciter d’autres cybercriminels à le diffuser encore plus loin. Pour cette raison, les utilisateurs intéressés par l’achat, la vente et le stockage de crypto-monnaies ne doivent télécharger que des applications de portefeuille cryptographique à partir de l’App Store d’Apple ou du Google Play Store.