[ad_1]
Présentées comme des portefeuilles cryptographiques, des dizaines d’applications malveillantes sont apparues en ligne dans le but de voler les fonds des utilisateurs du monde entier. Les applications étaient disponibles pour les utilisateurs d’Android et d’iOS dans le cadre d’un schéma complexe, selon un rapport basé sur la recherche. Il a été découvert que les applications malveillantes en question usurpaient l’identité de portefeuilles cryptographiques tels que Coinbase, imToken, MetaMask, Trust Wallet, Bitpie, TokenPocket et OneKey. Les portefeuilles cryptographiques trojanisés ont été découverts pour la première fois en mai 2021 et ciblaient initialement les utilisateurs chinois. Cependant, à mesure que les crypto-monnaies deviennent populaires, les techniques malveillantes utilisées par les attaquants pourraient être étendues aux utilisateurs du monde entier.
La société de sécurité Internet ESET a signalé la découverte de portefeuilles cryptographiques malveillants qui semblent être disponibles pour les utilisateurs d’Android et d’iOS.
La recherche menée par ESET a trouvé un système sophistiqué géré par des attaquants anonymes et identifié plus de 40 sites Web se faisant passer pour des portefeuilles cryptographiques populaires. Ces sites Web ciblent les utilisateurs mobiles et obligent les visiteurs par différentes techniques à les laisser télécharger des applications de portefeuille malveillantes.
Bien que les preuves initiales suggèrent que la cible pourrait être les utilisateurs chinois, il a été découvert plus tard que le programme pouvait viser toute personne utilisant la langue anglaise sur son téléphone.
«Ils ne ciblent pas uniquement les utilisateurs chinois, car la plupart des faux sites Web et applications distribués sont en anglais. À cause de cela, je pense que cela pourrait affecter n’importe qui dans le monde (s’ils parlent anglais) », a déclaré Lukas Stefanko, analyste des logiciels malveillants chez ESET, à thebuzzly.
La première trace du vecteur de distribution des portefeuilles trojanisés a été repérée en mai 2021. Les attaquants ont utilisé différents groupes Telegram pour inscrire des personnes pour distribuer les applications malveillantes, selon le rapport.
Sur la base des informations obtenues, les chercheurs ont découvert que les attaquants donnaient aux gens une commission de 50 % sur le contenu volé du portefeuille. Cela visait à amener plus de personnes à bord pour faire circuler le malware.
Les chercheurs ont également remarqué que les groupes Telegram étaient partagés et promus dans certains groupes Facebook, dans le but de rechercher davantage de partenaires de distribution pour le malware. Il pourrait éventuellement étendre la portée des attaques malveillantes en obtenant des intermédiaires pour cibler les individus.
Selon les chercheurs, les applications malveillantes prétendaient fonctionner comme des portefeuilles cryptographiques légitimes, tels que imToken, Bitpie, MetaMask, TokenPocket et OneKey.
Les applications se comportent différemment selon le système d’exploitation sur lequel elles ont été installées, ont déclaré les chercheurs.
Sur Android, les applications ciblaient les nouveaux utilisateurs de crypto qui n’ont pas d’application de portefeuille légitime installée sur leurs appareils. Les applications de portefeuille utilisaient le même nom de package pour se déguiser en leurs homologues d’origine. Cependant, ils ont été signés à l’aide d’un certificat différent. Cela empêche ces applications de remplacer le portefeuille officiel de l’appareil.
Cependant, sur iOS, les applications malveillantes de portefeuille cryptographique pourraient être installées simultanément avec leur version légitime. Les applications malveillantes ne seraient installées que via une source tierce, bien que la version officielle puisse provenir de l’App Store.
Une fois installées, les chercheurs ont découvert que les applications pouvaient voler des phrases de départ générées par un portefeuille crypto pour donner accès à la crypto associée à ce portefeuille. Ces phrases ont été partagées avec le serveur des attaquants ou avec un groupe de discussion secret Telegram.
Les chercheurs d’ESET ont également découvert 13 fausses applications de portefeuille disponibles sur Google Play Store qui ont été supprimées en janvier sur la base de leur demande. Les applications se sont fait passer pour l’application légitime Jaxx Liberty Wallet et ont été installées plus de 1 100 fois.
Les chercheurs conseillent aux utilisateurs de télécharger et d’installer des applications uniquement à partir de sources officielles, telles que Google Play dans le cas d’Android et l’App Store d’Apple pour les consommateurs d’iPhone. Il est également recommandé aux utilisateurs de désinstaller rapidement les applications s’ils les trouvent de nature malveillante. Dans le cas d’iOS, les utilisateurs doivent également supprimer le profil de configuration des applications malveillantes en accédant à Réglages > Général > VPN et gestion des appareils une fois les applications installées.
Il est recommandé aux utilisateurs qui envisagent d’entrer dans le monde de la cryptographie et qui cherchent à créer un nouveau portefeuille de n’utiliser qu’un appareil et une application de confiance avant de transférer leur argent durement gagné.
« Étant donné que les attaquants connaissent l’historique de toutes les transactions de la victime, les attaquants pourraient ne pas voler les fonds immédiatement et pourraient plutôt attendre une meilleure opportunité après le dépôt de plus de pièces », écrit Stefanko dans le rapport.
[ad_2]
Source link
