ActualitésTechno

Besoin d’un portemonnaie pour vos cryptomonnaies, attention à ces logiciels malveillants

ESET Research a découvert un schéma sophistiqué de distribution d’applications Android et iOS trojanisées, imitant des portemonnaies électroniques populaires.

Le prix du bitcoin (20 558,07 €) a diminué d’environ 69 % par rapport à son niveau record d’il y a environ sept mois. Pour les investisseurs en crypto-monnaie, cela pourrait être le moment de paniquer et de retirer leurs fonds, ou pour les nouveaux arrivants de sauter sur cette occasion et d’acheter de la crypto-monnaie à un prix attractif. Si vous appartenez à l’un de ces groupes, vous devez choisir avec soin l’application mobile à utiliser pour gérer vos fonds.

ESET Research a identifié plus de 40 sites Web usurpant des portemonnaies (wallets) de crypto-monnaie populaires. Ces sites Web ciblent uniquement les utilisateurs mobiles et leur proposent de télécharger des applications de wallets malveillantes. ESET a pu retracer le vecteur de distribution de ces wallets de crypto-monnaie trojanisés, ainsi que la création de plusieurs groupes Telegram qui ont commencé à rechercher des partenaires affiliés. Peu de temps après, ESET a constaté que ces groupes « Telegram » étaient partagés et promus dans au moins 56 groupes Facebook, avec le même objectif : rechercher davantage de partenaires de distribution.

Différences de comportement sur iOS et Android

L’application malveillante se comporte différemment selon le système d’exploitation sur lequel elle a été installée. Sur Android, elle semble cibler les nouveaux utilisateurs de crypto-monnaie qui n’ont pas encore d’application de wallet légitime installée sur leurs appareils. Les wallets infectés par des chevaux de Troie ont le même nom de package que les applications légitimes ; cependant, ils sont signés à l’aide d’un certificat différent. Sur iOS, la victime peut avoir les deux versions installées – celle légitime de l’App Store et celle malveillante d’un site Web – car elles ne partagent pas le même Bundle ID.

Pour les appareils Android, les sites offraient la possibilité de télécharger directement l’application malveillante à partir de leurs serveurs même lorsque l’utilisateur cliquait sur le bouton « Télécharger sur Google Play ». Une fois téléchargée, l’application doit être installée manuellement par l’utilisateur. Concernant iOS, ces applications malveillantes ne sont pas disponibles sur l’App Store ; ils doivent être téléchargés et installés à l’aide de profils de configuration, qui ajoutent un certificat de signature de code de confiance arbitraire.

Découvertes d’ESET Research

Pour les deux plates-formes, les applications téléchargées se comportent comme des wallets entièrement fonctionnels. Cela est possible car les attaquants ont pris les applications de wallets légitimes et les ont compilées en y ajoutant un code malveillant. Le reconditionnement de ces applications de wallet légitimes devait être effectué manuellement, sans utiliser d’outils automatisés. ESET Research a découvert que le code source du front-end et du back-end, ainsi que les applications mobiles recompilées et corrigées incluses dans ces systèmes de wallets malveillants, ont été partagés publiquement sur au moins cinq sites Web chinois et dans quelques groupes Telegram en novembre 2021.

A la demande d’ESET en tant que partenaire de Google App Defense Alliance , en janvier 2022, Google a supprimé 13 applications malveillantes trouvées sur le Google Play Store qui se faisaient passer pour l’application légitime Jaxx Liberty Wallet ; elles ont été installés plus de 1 100 fois. L’une des applications de cette liste utilisait un faux site Web imitant Jaxx Liberty comme vecteur de distribution.

Prévention et désinstallation des logiciels malveillants

Le cas d’Android :

  • Les chercheurs d’ESET conseillent fréquemment aux utilisateurs de télécharger et d’installer des applications uniquement à partir de sources officielles.
  • Une solution de sécurité mobile fiable devrait être capable de détecter cette menace sur un appareil Android (Par exemple, les produits ESET détectent cette menace comme Android/FakeWallet).
  • Dans le cas de Google Play Store, ESET s’engage à protéger davantage l’écosystème mobile, en s’associant à d’autres fournisseurs de sécurité et à Google dans l’App Defense Alliance pour aider à la vérification des applications soumises pour inscription sur Google Play.

Sur un appareil iOS, la nature du système d’exploitation permet à une application de communiquer avec d’autres applications uniquement de manière très limitée. C’est pourquoi pour iOS, aucune solution de sécurité n’est proposée, car ils ne pourraient s’auto-scanner.

À l’avenir, nous pourrions nous attendre à une expansion de cette menace, car les cyber criminels recrutent des intermédiaires via les groupes Telegram et Facebook pour diffuser davantage ces logiciels malveillants, en leur offrant un pourcentage de la crypto-monnaie volée dans les wallets.

ESET aimerait rappeler aux investisseurs en crypto-monnaies, principalement les nouveaux arrivants, à rester vigilant et à n’utiliser que des wallets mobiles officiels et des applications d’échange, téléchargées à partir des stores d’applications officiels. Nous tenons à rappeler aux utilisateurs d’appareils iOS les dangers d’accepter des profils de configuration provenant de tout sauf des sources les plus fiables.

À propos d’ESET :

Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes. *Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019.

perelafouine

Une question, une remarque : webmaster@franol.fr

Articles similaires

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Bouton retour en haut de la page
%d blogueurs aiment cette page :