Le fabricant d'antivirus et la société de sécurité Internet ESET ont découvert un schéma de crypto-monnaie malveillant complexe qui cible les utilisateurs mobiles sur Android et iOS depuis mai de l'année dernière.
On pense que le stratagème lui-même est l'œuvre d'un groupe criminel et utilise des applications malveillantes distribuées via de faux sites pour voler des bitcoins et d'autres crypto-monnaies à des utilisateurs peu méfiants. Ces applications malveillantes imitent les portefeuilles de crypto-monnaie populaires, notamment Metamask, Coinbase, Trust Wallet, TokenPocket, Bitpie, imToken et OneKey.
Les responsables du stratagème utilisent des publicités placées sur des sites légitimes avec des articles illusoires pour promouvoir de faux sites qui distribuent ces applications de portefeuille imitées. Cependant, les cybercriminels ont également recruté des médiateurs par le biais de groupes sur Telegram et Facebook. Bien que l'objectif principal du stratagème soit de voler les fonds des utilisateurs, ESET Research a principalement noté que les utilisateurs chinois étaient la cible, mais avec la popularité croissante des crypto-monnaies, les spécialistes de la sécurité de l'entreprise s'attendent à ce que les techniques employées se propagent à d'autres marchés.
L'érudit ESET qui a découvert le programme, Lukáš Štefanko, a donné des informations complémentaires sur son fonctionnement dans un communiqué de presse, en disant :
« Ces applications malveillantes constituent également une autre menace pour les victimes, car certaines envoient des phrases secrètes aux victimes au serveur des attaquants via une connexion HTTP non sécurisée. Cela signifie que les fonds des victimes pourraient être volés non seulement par l'opérateur de ce stratagème, mais également par un autre attaquant écoutant exactement le même réseau. Nous avons également découvert treize applications malveillantes se faisant passer pour le portefeuille Jaxx Liberty. Ces applications étaient gratuites sur le Play Store.
Un schéma élaboré
À partir de mai de l'année dernière, les chercheurs en sécurité d'ESET ont découvert des dizaines d'applications de portefeuille de crypto-monnaie trojanisées.
Ce qui distingue ce système des autres escroqueries cryptographiques est le fait que le créateur du malware a effectué une analyse approfondie des applications cryptographiques légitimes pour insérer leur code malveillant dans des endroits où il serait assez difficile à détecter. Dans le même temps, ils se sont également assurés que les fausses applications qu'ils ont créées avaient exactement les mêmes fonctionnalités que les originales.
ESET a trouvé des dizaines de tenues faisant la promotion de copies malveillantes de portefeuilles de crypto-monnaie sur Telegram depuis mai XNUMX. Depuis octobre de l'année dernière, ces bundles Telegram ont été partagés et promus sur au moins cinquante-six bundles Facebook pour localiser encore plus de partenaires de distribution. Puis, au mois de novembre, ESET a remarqué que ces fausses applications de portefeuille de crypto-monnaie étaient distribuées sur deux sites chinois légitimes.
Ces applications malveillantes se comportent également différemment sur Android et iOS. Sur Android, ils ciblent les nouveaux utilisateurs de crypto-monnaie qui n'ont pas encore d'application de portefeuille installée sur leurs appareils, tandis que sur iOS, les victimes peuvent avoir à la fois une application de portefeuille légitime et malveillante installée.
Étant donné que le code source de ce stratagème a été divulgué et partagé sur plusieurs sites chinois, il pourrait potentiellement inciter d'autres cybercriminels à le diffuser davantage. Pour cette raison, les utilisateurs intéressés par l'achat, la vente et la détention de crypto-monnaies ne doivent télécharger que des applications de portefeuille crypto à partir de l'App Store ou du Play Store d'Apple.