Des experts découvrent une campagne de vol de crypto-monnaie aux utilisateurs d’Android et d’iPhone

Cryptocurrency from Android and iPhone Users Des nouvelles

Les chercheurs ont fait sauter le couvercle d’un système malveillant sophistiqué ciblant principalement les utilisateurs chinois via des applications de copie sur Android et iOS qui imitent les services de portefeuille numérique légitimes pour siphonner les fonds de crypto-monnaie.

« Ces applications malveillantes ont pu voler les phrases de départ secrètes des victimes en se faisant passer pour Coinbase, imToken, MetaMask, Trust Wallet, Bitpie, TokenPocket ou OneKey », mentionné Lukáš Štefanko, chercheur principal sur les logiciels malveillants chez ESET dans un rapport partagé avec The Hacker News.

Les services de portefeuille auraient été distribués via un réseau de plus de 40 sites Web de portefeuilles contrefaits qui sont promus à l’aide d’articles trompeurs publiés sur des sites Web chinois légitimes, ainsi qu’en recrutant des intermédiaires via des groupes Telegram et Facebook, dans une tentative pour inciter les visiteurs sans méfiance à télécharger les applications malveillantes.

ESET, qui suit la campagne depuis mai 2021, l’a attribuée au travail d’un seul groupe criminel. Les applications de portefeuille de crypto-monnaie trojanisées sont conçues de manière à reproduire les mêmes fonctionnalités que leurs homologues d’origine, tout en incorporant également des modifications de code malveillantes qui permettent le vol d’actifs cryptographiques.

« Ces applications malveillantes représentent également une autre menace pour les victimes, car certaines d’entre elles envoient des phrases secrètes de victimes au serveur des attaquants à l’aide d’une connexion HTTP non sécurisée », a déclaré Štefanko. « Cela signifie que les fonds des victimes pourraient être volés non seulement par l’opérateur de ce stratagème, mais également par un autre attaquant écoutant sur le même réseau. »

La société slovaque de cybersécurité a déclaré avoir trouvé des dizaines de groupes faisant la promotion de copies malveillantes de ces applications de portefeuille sur l’application de messagerie Telegram, qui étaient à leur tour partagées sur au moins 56 groupes Facebook dans l’espoir de trouver de nouveaux partenaires de distribution pour le stratagème frauduleux.

« Sur la base des informations acquises auprès de ces groupes, une personne distribuant ce malware se voit offrir une commission de 50% sur le contenu volé du portefeuille », a noté ESET.

Dans une tournure unique, les applications, une fois installées, sont configurées différemment selon le système d’exploitation des appareils mobiles compromis. Sur Android, les applications sont destinées aux utilisateurs de crypto-monnaie qui n’ont encore aucune des applications de portefeuille ciblées déjà installées, tandis que sur iOS, les victimes peuvent avoir les deux versions installées.

Il convient également de souligner que les fausses applications de portefeuille ne sont pas directement disponibles sur l’App Store iOS. Au contraire, ils ne peuvent être téléchargés qu’en visitant l’un des sites Web malveillants à l’aide de profils de configuration permettant d’installer des applications non vérifiées par Apple et provenant de sources extérieures à l’App Store.

L’enquête a également mis au jour 13 applications malveillantes qui se faisaient passer pour le Jaxx Liberty Wallet sur le Google Play Store, qui ont toutes été supprimées du marché des applications Android en janvier 2022. Elles ont été installées collectivement plus de 1 100 fois.

« Leur objectif était simplement de démêler la phrase de départ de récupération de l’utilisateur et de l’envoyer soit au serveur des attaquants, soit à un groupe de discussion secret Telegram », a déclaré Štefanko.

Alors que les acteurs de la menace derrière l’opération recrutent activement des partenaires via les réseaux sociaux et les applications de messagerie et leur offrent un pourcentage de la monnaie numérique volée, ESET avertit que les attaques pourraient se propager à d’autres parties du monde à l’avenir.

« De plus, il semble que le code source de cette menace ait été divulgué et partagé sur quelques sites Web chinois, ce qui pourrait attirer divers acteurs de la menace et propager cette menace encore plus loin », a ajouté Štefanko.

David
Rate author
Hackarizona