Attention aux clones Coinbase ou MetaMask du Play Store : ils regorgent de malwares

Attention aux clones Coinbase ou MetaMask du Play Store : ils regorgent de malwares

Des dizaines d’applications capables de voler des données d’accès à des applications de crypto-monnaie aussi célèbres que Coinbase ont été découvertes par un groupe de chercheurs spécialisés dans la cybersécurité.

Coinbase et MetaMask sont deux des logiciels de crypto-monnaie les plus utilisés au monde, et il n’est pas surprenant que ces dernières années, ils soient devenus la cible des pirates lors de l’organisation de leurs attaques, dans le but de profiter des utilisateurs peu méfiants pour obtenir des données. , ou même de l’argent.

Un rapport récent des personnes d’ESET Research a découvert une nouvelle menace qui, depuis mai 2021, travaille dans le but d’introduire des chevaux de Troie dans les appareils Android et iOS des utilisateurs du monde entier, capables de voler des identifiants d’accès secrets à des plateformes telles que Coinbase, MetaMask, OneKey, Bitpie, Trust Wallet ou TokenPocket.

Attention aux clones Coinbase ou MetaMask du Play Store : ils regorgent de malwares

Les applications de crypto-monnaie sont devenues les principales cibles des pirates.

Un groupe criminel pourrait être derrière cette attaque

Dans le rapport, il est précisé qu’il s’agit d’une attaque très complexe, puisque les auteurs du malware ont procédé à une analyse approfondie des applications légitimes pour copier leurs fonctions en détail, dans le but de rendre leurs chevaux de Troie beaucoup plus difficiles à détecter. . Pour cette raison, on pense qu’il est très probable qu’il y ait un groupe criminel derrière la menace, et non une seule personne comme cela s’est produit à d’autres occasions.

Par la suite, les applications ont été promues sur différents sites Web et chaînes Telegram, encourageant les utilisateurs à télécharger les applications infectées, disponibles à la fois sur Android — via Google Play — et sur iOS. Au total, plus de 40 sites Web faisant la promotion des applications malveillantes ont été découverts, la plupart ciblant le public chinois.

Selon les chercheurs, le cheval de Troie fonctionnait différemment selon la plate-forme : sur Android, la menace s’adresse aux utilisateurs qui n’ont pas l’application de crypto-monnaie sur leurs appareils, car en raison du fonctionnement du système, il n’est pas possible d’écraser une application de crypto-monnaie déjà installée sur l’appareil, si la clé utilisée pour signer l’application n’est pas la même que celle de l’application d’origine.

Dans le cas d’iOS, il est possible d’installer les deux applications simultanément, ce dont les attaquants ont profité pour se faufiler dans les appareils des victimes. Cependant, comme les applications n’étaient pas présentes dans l’App Store, il était nécessaire de télécharger et d’installer des profils de configuration sur l’appareil, qui contenait déjà le cheval de Troie installé.

Une fois installées, les applications ont tenté d’inciter l’utilisateur à obtenir sa phrase de sécurité, ou « graine », nécessaire pour accéder au portefeuille de crypto-monnaie. Par la suite, les informations ont été envoyées aux serveurs de l’attaquant, et grâce à cela, ils ont pu manipuler à volonté le contenu des portefeuilles.

Comme si cela ne suffisait pas, de plus, la transmission des données au serveur était effectuée à l’aide d’une connexion HTTP non sécurisée, ce qui pouvait permettre à des tiers d’obtenir les clés en menant une attaque d’espionnage sur le réseau de la victime. Dans la vidéo sous ces lignes, vous pouvez voir un exemple de ce type d’attaque, où des informations sensibles sont extraites via la connexion HTTP :

Bien qu’il s’agisse d’une attaque ciblant principalement les utilisateurs en Chine, « des dizaines de variantes différentes » ont été découvertes dans le seul Google Play Store. De plus, puisque le code de l’attaque a été publié sur Internet, il est fort probable qu’il continuera à être utilisé à partir de maintenant.

Pour cette raison, il est très important de s’assurer que les applications téléchargées proviennent de sources fiables et qu’elles sont également publiées dans leurs magasins respectifs par des développeurs réputés.

Rubriques connexes : Applications