ESET Research a découvert et remonté la piste d’une campagne de vol de cryptomonnaie sophistiquée, qui cible les appareils mobiles Android ou iOS (iPhones). Les applications malveillantes sont diffusées via de faux sites web, imitant des services de portefeuille légitimes tels que Metamask, Coinbase, Trust Wallet, TokenPocket, Bitpie, imToken et OneKey.
Ces faux sites web sont promus par des publicités placées sur des sites légitimes à l’aide d’articles trompeurs. Les pirates recrutent des intermédiaires via des groupes Telegram et Facebook afin de diffuser le programme malveillant.
L’objectif principal de ces applications malveillantes est de voler les fonds des utilisateurs et, jusqu’à présent, ESET Research a constaté que cette campagne visait principalement des utilisateurs chinois. Comme les cryptomonnaies gagnent en popularité, ESET s’attend à ce que ces techniques se répandent à travers le monde.
Depuis mai 2021, nos recherches ont permis de découvrir des dizaines d’applications de portefeuille de cryptomonnaies infectées par des chevaux de Troie. Il s’agit d’un vecteur d’attaque sophistiqué, car l’auteur du malware a procédé à une analyse approfondie des applications légitimes, ce qui lui a permis d’insérer son propre code malveillant à des endroits où il serait difficile de le détecter, tout en veillant à ce que ces applications modifiées aient les mêmes fonctionnalités que les applications d’origine. Pour l’instant, ESET Research estime qu’il s’agit probablement de l’œuvre d’un groupe criminel.
L’application malveillante se comporte différemment selon le système d’exploitation sur lequel elle a été installée. Sur Android, elle semble cibler les nouveaux utilisateurs de cryptomonnaies qui n’ont pas encore d’application de portefeuille installée sur leur appareil. Sur iOS, la victime peut avoir installé les deux versions ; la version légitime depuis l’App Store et la version malveillante depuis un site web.
En ce qui concerne iOS, les applications malveillantes ne sont pas disponibles sur l’App Store ; elles doivent être téléchargées et installées à l’aide de profils de configuration, qui ajoutent un certificat arbitraire de signature de code de confiance. En ce qui concerne Google Play, suite à notre demande en tant que partenaire Google App Defense Alliance, en janvier 2022, Google a supprimé 13 applications malveillantes trouvées sur la boutique officielle.
Il semble également que le code source de cette menace ait été divulgué et partagé sur quelques sites web chinois, ce qui pourrait attirer d’autres pirates et propager encore plus cette menace.
Communiqué
