Les chercheurs ont découvert plus de 280 applications malveillantes pour Android qui utilisent la reconnaissance optique de caractères pour voler les informations d’identification des portefeuilles de crypto-monnaie des appareils infectés.
Les applications se font passer pour des applications officielles de banques, de services gouvernementaux, de services de streaming TV et de services publics. En fait, elles parcourent les téléphones infectés à la recherche de messages texte, de contacts et de toutes les images stockées et les envoient subrepticement à des serveurs distants contrôlés par les développeurs d’applications. Les applications sont disponibles sur des sites malveillants et sont distribuées dans des messages de phishing envoyés aux cibles. Rien n’indique que l’une des applications était disponible via Google Play.
Un haut niveau de sophistication
Le plus remarquable dans cette campagne de malware récemment découverte est que les acteurs malveillants qui se cachent derrière utilisent un logiciel de reconnaissance optique de caractères pour tenter d’extraire les identifiants des portefeuilles de cryptomonnaies qui sont affichés dans les images stockées sur les appareils infectés. De nombreux portefeuilles permettent aux utilisateurs de protéger leurs portefeuilles avec une série de mots aléatoires. Les identifiants mnémotechniques sont plus faciles à retenir pour la plupart des gens que le fouillis de caractères qui apparaît dans la clé privée. Les mots sont également plus faciles à reconnaître pour les humains dans les images.
SangRyol Ryu, chercheur chez McAfee, une société de sécurité informatique, a fait cette découverte après avoir obtenu un accès non autorisé aux serveurs qui ont reçu les données volées par les applications malveillantes. Cet accès était dû à des configurations de sécurité faibles effectuées lors du déploiement des serveurs. Grâce à cela, Ryu a pu lire les pages accessibles aux administrateurs du serveur.
Une page, présentée dans l’image ci-dessous, était particulièrement intéressante. Elle montrait une liste de mots en haut et une image correspondante, prise à partir d’un téléphone infecté, en dessous. Les mots représentés visuellement dans l’image correspondaient aux mêmes mots.
Agrandir / Une page d’administration affichant les détails de l’OCR.
McAfee
« Après avoir examiné la page, il est devenu clair que l’objectif principal des attaquants était d’obtenir les phrases mnémotechniques de récupération des portefeuilles de cryptomonnaies », a écrit Ryu. « Cela suggère qu’ils ont mis l’accent sur l’accès aux actifs cryptographiques des victimes et sur leur possible épuisement. »
La reconnaissance optique de caractères est le processus de conversion d’images de textes dactylographiés, manuscrits ou imprimés en textes codés par machine. La reconnaissance optique de caractères (OCR) existe depuis des années et est devenue de plus en plus courante pour transformer les caractères capturés dans des images en caractères pouvant être lus et manipulés par un logiciel.
Ryu a continué :
Cette menace utilise Python et Javascript côté serveur pour traiter les données volées. Plus précisément, les images sont converties en texte à l’aide de techniques de reconnaissance optique de caractères (OCR), qui sont ensuite organisées et gérées via un panneau d’administration. Ce processus suggère un niveau élevé de sophistication dans le traitement et l’utilisation des informations volées.
Agrandir / Code Python permettant de convertir le texte affiché dans les images en texte lisible par machine.
McAfee
Les personnes craignant d’avoir installé l’une des applications malveillantes doivent consulter la publication de McAfee pour obtenir une liste des sites Web associés et des hachages cryptographiques.
Le malware a reçu de nombreuses mises à jour au fil du temps. Alors qu’il utilisait autrefois HTTP pour communiquer avec les serveurs de contrôle, il se connecte désormais via WebSockets, un mécanisme plus difficile à analyser pour les logiciels de sécurité. Les WebSockets ont l’avantage supplémentaire d’être un canal plus polyvalent.
Agrandir / Une chronologie de l’évolution des applications.
McAfee
Les développeurs ont également mis à jour les applications pour mieux masquer leurs fonctionnalités malveillantes. Les méthodes de masquage incluent le codage des chaînes à l’intérieur du code afin qu’elles ne soient pas facilement lisibles par les humains, l’ajout de code non pertinent et le changement de nom des fonctions et des variables, autant de méthodes qui déroutent les analystes et rendent la détection plus difficile. Bien que le malware soit principalement limité à la Corée du Sud, il a récemment commencé à se propager au Royaume-Uni.
« Ce développement est significatif car il montre que les acteurs malveillants élargissent leur champ d’action à la fois démographiquement et géographiquement », a écrit Ryu. « L’arrivée au Royaume-Uni indique une tentative délibérée des attaquants d’élargir leurs opérations, visant probablement de nouveaux groupes d’utilisateurs avec des versions localisées du malware. »
