ESET: Une campagne malveillante sophistiquée ciblant Android et iOS
ESET Research a découvert un schéma sophistiqué qui distribue des applications Android et iOS trojanisées se faisant passer pour des wallets de crypto-monnaie populaires.
Le prix du bitcoin a diminué d'environ 69 % par rapport à son niveau record d'il y a environ sept mois. Pour les investisseurs en crypto-monnaie, cela pourrait être le moment de paniquer et de retirer leurs fonds, ou pour les nouveaux arrivants de sauter sur cette occasion et d'acheter de la crypto-monnaie à un prix inférieur. Si vous appartenez à l'un de ces groupes, vous devez choisir avec soin l'application mobile à utiliser pour gérer vos fonds.
ESET Research a identifié plus de 40 sites Web imitateurs de wallets de crypto-monnaie populaires. Ces sites Web ciblent uniquement les utilisateurs mobiles et leur proposent de télécharger des applications de wallets malveillantes. ESET a pu retracer le vecteur de distribution de ces wallets de crypto-monnaie trojanisés, ainsi que la création de plusieurs groupes Telegram qui ont commencé à rechercher des partenaires affiliés. Peu de temps après, ESET a constaté que ces groupes « Telegram » étaient partagés et promus dans au moins 56 groupes Facebook, avec le même objectif : rechercher davantage de partenaires de distribution. Une liste de wallets de crypto-monnaie existe pour contourner l'interdiction actuelle et recommande d'utiliser cinq wallets - imToken, Bitpie, MetaMask, TokenPocket et OneKey.
Différences de comportement sur iOS et Android
L'application malveillante se comporte différemment selon le système d'exploitation sur lequel elle a été installée. Sur Android, il semble cibler les nouveaux utilisateurs de crypto-monnaie qui n'ont pas encore d'application de wallet légitime installée sur leurs appareils. Les wallets infectés par des chevaux de Troie ont le même nom de package que les applications légitimes ; cependant, ils sont signés à l'aide d'un certificat différent. Sur iOS, la victime peut avoir les deux versions installées - celle légitime de l'App Store et celle malveillante d'un site Web - car elles ne partagent pas le même Bundle ID.
Pour les appareils Android, les sites offraient la possibilité de télécharger directement l'application malveillante à partir de leurs serveurs même lorsque l'utilisateur cliquait sur le bouton « Télécharger sur Google Play ». Une fois téléchargée, l'application doit être installée manuellement par l'utilisateur. Concernant iOS, ces applications malveillantes ne sont pas disponibles sur l'App Store. Elles doivent être téléchargés et installés à l'aide de profils de configuration, qui ajoutent un certificat de signature de code de confiance arbitraire. Sans surprise, les victimes d'ingénierie sociale dans l'installation de profils de configuration pour permettre l'installation ultérieure de logiciels malveillants sont maintenant utilisées par les cybercriminels.
Découvertes d’ESET Research
Pour les deux plates-formes, les applications téléchargées se comportent comme des wallets entièrement fonctionnels. Cela est possible car les attaquants ont pris les applications de wallets légitimes et les ont reconditionnées avec un code malveillant supplémentaire. Le reconditionnement de ces applications de wallet légitimes devait être effectué manuellement, sans utiliser d'outils automatisés. ESET Research a découvert que le code source du front-end et du back-end, ainsi que les applications mobiles recompilées et corrigées incluses dans ces systèmes de wallets malveillants, ont été partagés publiquement sur au moins cinq sites Web chinois et dans quelques groupes Telegram en novembre 2021.
A la demande d’ESET en tant que partenaire de Google App Defense Alliance, en janvier 2022, Google a supprimé 13 applications malveillantes trouvées sur le Google Play Store qui se faisaient passer pour l'application légitime Jaxx Liberty Wallet; elles ont été installés plus de 1100 fois. L'une des applications de cette liste utilisait un faux site Web imitant Jaxx Liberty comme vecteur de distribution.
Prévention et désinstallation des logiciels malveillants
Les chercheurs d'ESET conseillent fréquemment aux utilisateurs de télécharger et d'installer des applications uniquement à partir de sources officielles. Une solution de sécurité mobile fiable devrait être capable de détecter cette menace sur un appareil Android - par exemple, les produits ESET détectent cette menace comme Android/FakeWallet. Dans le cas de Google Play Store, ESET s'engage à protéger davantage l'écosystème mobile, en s'associant à d'autres fournisseurs de sécurité et à Google dans l'App Defense Alliance pour aider à la vérification des applications soumises pour inscription sur Google Play. Sur un appareil iOS, la nature du système d'exploitation permet à une application de communiquer avec d'autres applications uniquement de manière très limitée. C'est pourquoi pour iOS, aucune solution de sécurité n'est proposée, car ils ne pourraient s'auto-scanner.
À l'avenir, on pourrait s'attendre à une expansion de cette menace, car les acteurs de la menace recrutent des intermédiaires via les groupes Telegram et Facebook pour diffuser davantage ce schéma malveillant, en leur offrant un pourcentage de la crypto-monnaie volée dans les wallets. ESET aimerait appeler la communauté des crypto-monnaies, principalement les nouveaux arrivants, à rester vigilante et à n'utiliser que des wallets mobiles officiels et des applications d'échange, téléchargées à partir des stores d'applications officiels qui sont explicitement liés aux sites Web officiels de ces services, et à rappeler aux utilisateurs d'appareils iOS les dangers d'accepter des profils de configuration provenant de tout sauf des sources les plus fiables.
Source : ESET