13 apps vident les comptes cryptos et wallets des crypto investisseurs

Les cryptomonnaies stockées sur Coinbase, Binance, Trust Wallet ou encore MetaMask seraient en danger.

Les chercheurs de la société slovaque de cybersécurité ESET ont annoncé avoir détecté le début d’une campagne de vol de cryptomonnaies. En effet, ESET Research a découvert et a fait remonter la piste d’un système d’app malveillante.

Sur le Google Play Store, l’enquête a identifié 13 applications malveillantes se faisant passer pour le portefeuille Jaxx Liberty. Elles ont été installées plus de 1.100 fois et ont toutes été retirées du marché des applications Android depuis janvier.

Fausses applications et phishing
Pour arriver à leurs fins, les cybercriminels à l’origine de cette attaque utilisent une combinaison d’applications copiées sur Android et iOS et des techniques de phishing.

Concrètement, les services de portemonnaie frauduleux se diffusent via un réseau de plus de 40 sites de portefeuilles contrefaits. Pour inciter les utilisateurs à télécharger ces applications malveillantes, les pirates les redirigent hors du Google Play Store ou de l’Apple App Store. Afin de rassurer au maximum leurs cibles, les hackers ont organisé des recrutements d’intermédiaires via Telegram et des groupes Facebook et ont publié des articles trompeurs sur des sites chinois légitimes.

Ainsi, la promotion de ces faux sites Web est assurée par des publicités placées sur des sites légitimes à l’aide d’articles trompeurs. Par exemple dans les sections “Investissement et gestion financière”.

Un commerce organisé
Dans ce système, des cybercriminels ont le rôle de développeurs. Leur mission est donc de développer et de commercialiser ces fausses applications. Leur “point fort” est qu’elles reprennent très précisément tous les codes graphiques des applications d’investissement officielles. Ensuite, un autre groupe de cybercriminels va payer ces développeurs pour accéder et profiter de leurs outils. Les transactions se font sur Facebook ou Telegram.

En clair, des pirates copient les codes graphiques des applications d’investissement officielles et les vendent ensuite à d’autres pirates. “Une personne distribuant le malware se voit offrir une commission de 50% sur le contenu volé des cryptowallets”, indique ESET, qui suit cette campagne depuis mai 2021.

Une propagation rapide et efficace
Ce système de piratage est accessible très facilement. En effet, selon ESET, des dizaines de groupes ont fait la promotion de ces applications malveillantes sur Telegram. Elles auraient ensuite été partagées sur au moins 56 groupes Facebook.

Plus les pirates partagent ces applications, plus le groupe de cybercriminel à l’origine du système frauduleux sera en mesure de trouver de nouveaux partenaires, de nouveaux distributeurs et donc de nouvelles victimes.

Se protéger

Tout d’abord, un des moyens les plus efficaces pour éviter ces malwares est de passer par le Play Store ou l’App Store officiels pour télécharger une application.
De même, il faut se méfier des liens qui promettent de rediriger automatiquement l’utilisateur vers un magasin d’application. Ils sont souvent à l’origine de nombreuses campagnes de phishing. Pour les plus aguerris, il est également possible de vérifier que l’application correspond bien au développeur officiel.
“Nous souhaitons appeler la communauté des crypto-monnaies, principalement les nouveaux arrivants, à rester vigilante et à n’utiliser que les portefeuilles mobiles et les applications d’échange officiels, téléchargés à partir des magasins d’applications officiels qui sont explicitement liés aux sites Web officiels de ces services, et rappeler aux utilisateurs d’appareils iOS les dangers d’accepter des profils de configuration provenant d’autres sources que les plus dignes de confiance”, concluent les chercheurs.