Le 1er février 2019, une équipe de chercheurs d’Eset a mis le doigt sur un logiciel malveillant, hébergé sur Google Play Store, la boutique d’applications officielles de la plateforme Android.
Plus connu sous le nom de clipper, ce type d’application malveillante est destiné à subtiliser de la cryptomonnaie du portefeuille virtuelle de l’utilisateur, en modifiant l’adresse du portefeuille de l’utilisateur final habituellement enregistrée dans le presse-papier (clipboard d’où l’appellation clipper) par l’adresse du créateur du logiciel malveillant.
De telles applications existent depuis longtemps, mais habituellement, c’est sur les systèmes sous Windows ou dans les App stores Android non officiels qu’on les a signalées, en trouver sur le Play Store officiel de Google fait quand même poser des questions sur l’efficacité des filtres de sécurité de la plateforme.
Des applications malveillantes qui s’infiltrent malgré les mesures de sécurité
Le cas de ce clipper n’est pas une première en ce qui concerne les failles en matière de contrôle des applications hébergées sur Google Play Store. En effet, en mai 2016, des chercheurs de Check Point ont découvert la campagne de propagation d’annonces spam via des applications, baptisée “Viking Horde”.
Avast a également mis le doigt sur des applications malveillantes qui pouvaient impacter plusieurs millions d’utilisateurs d’Android, en février 2015.
Récemment, le clipper qui a été découvert par les chercheurs d’Eset visait à intercepter puis à remplacer les adresses des portefeuilles de cryptomonnaies des utilisateurs d’Android, c’est-à-dire les identifiants nécessaires aux utilisateurs, sous couvert d’un service appelé MetaMask hébergé sur Google Play Store : l’utilisateur en déposant des fonds croit que c’est sur son compte alors que ce sera dans le portefeuille du créateur de l’application que les fonds vont atterrir.
Se faire passer pour un service dédié aux transactions en cryptomonnaies
Le service MetaMask est conçu pour permettre aux navigateurs d’exécuter des applications qui utilisent la cryptomonnaie Ethereum.
Selon Lukas Stefanko, l’auteur du billet de blog sur cette découverte :
« …l’attaque cible les utilisateurs qui souhaitent utiliser la version mobile du service MetaMask, conçue pour exécuter des applications décentralisées Ethereum dans un navigateur, sans avoir à exécuter un nœud Ethereum complet. Cependant, le service n’offre actuellement pas d’application mobile – seulement des extensions pour les navigateurs de bureau tels que Chrome et Firefox. »
Le chercheur conclut que la sécurité n’étant pas assurée même dans le cas d’une boutique d’applications officielle comme le Google Play Store, c’est à l’utilisateur final de vérifier la légitimité de l’application qu’il prévoit installer et utiliser, notamment en allant vérifier sur le site du fournisseur.
Dans la même foulée, il faut toujours vérifier si ce qui est consigné dans le presse-papier est bien ce à quoi on pense, et donc pas une adresse frauduleuse si on utilise un portefeuille virtuel.