Des chercheurs ont mis à jour un système malveillant capable de soutirer des fonds en cryptomonnaies en imitant les services de portefeuilles numériques légitimes (Coinbase, imToken, Trust Wallet, …). Ce système cible principalement les utilisateurs chinois en utilisant des applications copiées sur Android et iOS.
Les services de portemonnaie sont distribués par un réseau de plus de 40 sites de portefeuilles contrefaits. Pour inciter les visiteurs peu méfiants à télécharger les applications malveillantes, des articles trompeurs ont été publiés sur des sites chinois légitimes. Les hackers ont aussi organisé des recrutements d’intermédiaires via Telegram et des groupes Facebook.
Selon ESET, qui suit cette campagne depuis mai 2021, cette opération serait l’action d’un seul groupe criminel. Ces applications ont été conçues pour reproduire les mêmes fonctionnalités que les véritables portefeuilles, tout en intégrant des modifications de code malveillant capables de voler les cryptomonnaies.
Des applications dangereuses, capables de se propager facilement
Certes, ce système permet à leurs opérateurs de voler leurs victimes, mais un autre attaquant présent sur le même réseau pourrait également le faire.
« Ces applications malveillantes représentent également une autre menace pour les victimes, car certaines d’entre elles envoient des phrases d’amorçage secrètes au serveur des attaquants en utilisant une connexion HTTP non sécurisée. »
Lukás Stefanko, chercheur principal en logiciels malveillants chez ESET
Selon la société slovaque de cybersécurité, des dizaines de groupes ont fait la promotion de ces applications malveillantes sur Telegram. Elles ont ensuite été partagées sur au moins 56 groupes Facebook dans le but de trouver de nouveaux partenaires pour distribuer ce système frauduleux.
« D’après les informations obtenues de ces groupes, une personne distribuant ce logiciel malveillant se voit offrir une commission de 50% sur le contenu volé du portefeuille. »
ESET
Une fois ces applications installées, elles sont configurées différemment selon le système d’exploitation des appareils mobiles compromis. Les pirates ciblent ainsi les utilisateurs de cryptomonnaies n’ayant pas encore installé l’une de ces applications de portefeuille. Par contre, sur iOS, les victimes peuvent avoir les deux versions installées.
Ces fausses applications ne sont pas directement disponibles sur l’App Store. Elles ne peuvent être téléchargées qu’en visitant l’un des sites web malveillants utilisant des profils de configuration qui permettent d’installer des applications non vérifiées par Apple.
Une menace qui pourrait se propager vers d’autres régions du monde
L’enquête a permis d’identifier 13 applications malveillantes se faisant passer pour le portefeuille Jaxx Liberty sur Google Play Store. Elles ont été installées collectivement plus de 1100 fois. Depuis janvier 2022, elles ont toutes été retirées du marché des applications Android.
À cause du recrutement active effectué par les personnes responsables de cette opération, ESET pense que les attaques pourraient s’étendre très vite à d’autres parties du monde. Stefanko a d’ailleurs noté que la divulgation et le partage du code source sur quelques sites chinois pourraient attirer divers acteurs et propager cette menace encore plus loin.
SOURCE : HACKERNEWS
Merci pour l’info
Merci
Est-ce que je peux avoir le nom de ces applications ???