Un groupe de 26 applications malveillantes a été découvert sur l’App Store d’Apple, se faisant passer pour des portefeuilles de cryptomonnaie populaires tels que Metamask, Coinbase, Trust Wallet et OneKey. Ces applications ont pour objectif de dérober des phrases de récupération ou des phrases secrètes, permettant ainsi de siphonner des actifs en cryptomonnaie.
Les acteurs de cette menace ont utilisé différentes méthodes telles que le typosquatting et la contrefaçon de marques pour inciter des utilisateurs en Chine à les télécharger. Les applications, étant interdites dans le pays, étaient publiées sous forme de jeux ou d’applications de calcul, dans l’espoir d’être perçues comme une ruse pour contourner les restrictions.
Des chercheurs de Kaspersky ont identifié ces 26 applications comme faisant partie d’une même campagne appelée FakeWallet, liée à l’opération SparkKitty, qui a débuté l’année dernière. À l’ouverture, ces applications redirigent les utilisateurs vers des pages de phishing, conçues pour ressembler à de véritables portails de services cryptographiques.
Source: Kaspersky
Ces sites incitent les victimes à télécharger des applications de portefeuille infectées, exploitant des profils de provisioning iOS, une fonctionnalité d’entreprise légitime utilisée à mauvais escient pour faire passer des malwares sur les appareils. Cette méthode a également été observée dans l’opération SparkKitty.
Source: Kaspersky
Les applications infectées contiennent un code supplémentaire qui intercepte les phrases mnémotechniques durant la configuration ou la récupération du portefeuille. Ces phrases sont ensuite cryptées avec RSA et Base64, puis envoyées aux attaquants.
Pour les portefeuilles froids tels que Ledger, les attaquants se servent de sollicitations de phishing in-app pour piéger les utilisateurs leur demandant de saisir manuellement leurs phrases secrètes via de fausses fenêtres de vérification de sécurité.
Ces phrases sont uniquement en possession du vrai propriétaire du portefeuille et servent à porter ou à récupérer ce dernier sur de nouveaux appareils, ne nécessitant aucune autre confirmation ni mot de passe.
Source: Kaspersky
Kaspersky a noté que cette campagne vise principalement les utilisateurs en Chine. Toutefois, le malware n’a pas de restrictions géographiques, ce qui pourrait affecter des utilisateurs à l’échelle mondiale si les opérateurs décidaient d’élargir leur cible.
Les détenteurs de cryptomonnaies sont invités à vérifier soigneusement l’éditeur des applications qu’ils téléchargent, même depuis des app store officiels, et à n’utiliser que les liens fournis sur les sites web officiels.
Récemment, un faux Ledger a réussi à s’introduire dans l’App Store d’Apple, dérobant 9,5 millions de dollars de cryptomonnaies à 50 utilisateurs de macOS.
Apple a retiré toutes les 26 applications FakeWallet de son App Store suite à la divulgation responsable de Kaspersky.
BleepingComputer a contacté Apple pour des questions concernant le processus des attaquants pour contourner les vérifications de l’App Store, mais aucune réponse n’a été reçue avant la publication de cet article.