Des attaquants ont diffusé des applications malveillantes via des sites légitimes et de faux sites, ainsi que des groupes Telegram et Facebook
· Cette campagne malveillante sophistiquée cible les appareils mobiles utilisant les systèmes d’exploitation Android ou iOS (iPhones).
· Les applications malveillantes ont été diffusées via de faux sites web imitant des services de portefeuille légitimes, et à l’aide de publicités et d’articles trompeurs placés sur des sites légitimes, et via des groupes Telegram et Facebook.
· L’objectif principal est de voler des cryptomonnaies, notamment ceux d’utilisateurs chinois.
· ESET Research a découvert plus de 40 faux sites web de portefeuilles de cryptomonnaies populaires et estime qu’un groupe criminel en est probablement l’auteur.
· L’application malveillante se comporte différemment selon le système d’exploitation sur lequel elle est installée.
· La fuite du code source de cette menace permettrait à ces techniques se répandent à travers le monde.
BRATISLAVA, KOŠICE — le 4 avril 2022 — ESET Research a découvert et remonté la piste d’une campagne de vol de cryptomonnaie sophistiquée, qui cible les appareils mobiles Android ou iOS (iPhones). Les applications malveillantes sont diffusées via de faux sites web, imitant des services de portefeuille légitimes tels que Metamask, Coinbase, Trust Wallet, TokenPocket, Bitpie, imToken et OneKey. Ces faux sites web sont promus par des publicités placées sur des sites légitimes à l’aide d’articles trompeurs. Les pirates recrutent des intermédiaires via des groupes Telegram et Facebook afin de diffuser le programme malveillant. L’objectif principal de ces applications malveillantes est de voler les fonds des utilisateurs et, jusqu’à présent, ESET Research a constaté que cette campagne visait principalement des utilisateurs chinois. Comme les cryptomonnaies gagnent en popularité, ESET s’attend à ce que ces techniques se répandent à travers le monde.
Depuis mai 2021, nos recherches ont permis de découvrir des dizaines d’applications de portefeuille de cryptomonnaies infectées par des chevaux de Troie. Il s’agit d’un vecteur d’attaque sophistiqué, car l’auteur du malware a procédé à une analyse approfondie des applications légitimes, ce qui lui a permis d’insérer son propre code malveillant à des endroits où il serait difficile de le détecter, tout en veillant à ce que ces applications modifiées aient les mêmes fonctionnalités que les applications d’origine. Pour l’instant, ESET Research estime qu’il s’agit probablement de l’œuvre d’un groupe criminel.
« Ces applications malveillantes représentent également une autre menace pour les victimes, car certaines d’entre elles envoient des phrases secrètes de la victime au serveur des attaquants en utilisant une connexion HTTP non sécurisée. Cela signifie que les fonds des victimes peuvent être volés non seulement par l’opérateur de cette campagne, mais également par un autre attaquant qui espionnerait le même réseau, » explique Lukáš Štefanko, le chercheur d’ESET qui a découvert la campagne. « Nous avons également découvert 13 applications malveillantes se faisant passer pour le portefeuille Jaxx Liberty. Ces applications étaient disponibles dans Google Play store, » ajoute-t-il.
Sur Telegram, ESET a découvert des dizaines de groupes d’utilisateurs faisant la promotion de versions malveillantes de portefeuilles mobiles de cryptomonnaies. Nous supposons que ces groupes ont été créés par les auteurs du projet, à la recherche de nouveaux moyens de distribution, et ce depuis mai 2021. À partir d’octobre 2021, nous avons constaté que ces groupes Telegram étaient partagés et promus dans au moins 56 groupes Facebook ayant le même objectif, à savoir rechercher davantage de moyens de distribution. En novembre 2021, nous avons repéré la diffusion de portefeuilles malveillants utilisant deux sites web chinois légitimes.
Outre ces vecteurs de distribution, nous avons découvert des dizaines d’autres sites de portefeuilles contrefaits ciblant exclusivement des utilisateurs mobiles. Une visite sur l’un de ces sites web incite la victime à télécharger une application de portefeuille infectée par un cheval de Troie pour Android ou iOS.
L’application malveillante se comporte différemment selon le système d’exploitation sur lequel elle a été installée. Sur Android, elle semble cibler les nouveaux utilisateurs de cryptomonnaies qui n’ont pas encore d’application de portefeuille installée sur leur appareil. Sur iOS, la victime peut avoir installé les deux versions ; la version légitime depuis l’App Store et la version malveillante depuis un site web.
En ce qui concerne iOS, les applications malveillantes ne sont pas disponibles sur l’App Store ; elles doivent être téléchargées et installées à l’aide de profils de configuration, qui ajoutent un certificat arbitraire de signature de code de confiance. En ce qui concerne Google Play, suite à notre demande en tant que partenaire Google App Defense Alliance, en janvier 2022, Google a supprimé 13 applications malveillantes trouvées sur la boutique officielle.
Il semble également que le code source de cette menace ait été divulgué et partagé sur quelques sites web chinois, ce qui pourrait attirer d’autres pirates et propager encore plus cette menace.
« Au moment de la publication, le prix du bitcoin a diminué de près de la moitié par rapport à son sommet historique il y a environ quatre mois. Pour les investisseurs en cryptomonnaies, c’est le moment soit de paniquer et de retirer leurs fonds, soit pour les nouveaux venus de sauter sur l’occasion et d’acheter des cryptomonnaies à un prix plus bas. Si vous appartenez à l’un de ces groupes, vous devez choisir avec soin l’application mobile pour gérer vos fonds, » conseille M. Štefanko.
Pour plus d’informations techniques, consultez l’article « Crypto malware in patched wallets targeting Android and iOS devices » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.