Une vingtaine d’applications crypto malveillantes sont parvenues à entrer sur l’App Store, à l’insu d’Apple. Ces apps imitent des solutions connues comme MetaMask, Coinbase et Ledger pour voler les phrases secrètes des utilisateurs… et dépouiller toutes leurs devises numériques.
Des chercheurs de Kaspersky ont identifié 26 applications malveillantes sur l’App Store d’Apple. La boutique d’applications iOS, qu’on présente souvent comme mieux sécurisée que le Play Store d’Android, est également envahie par des apps factices. Selon l’enquête de Kaspersky, les applications visent les utilisateurs chinois qui détiennent des cryptomonnaies.
À lire aussi : Le plus grand vol crypto de l’année – les hackers nord-coréens ont encore frappé
La campagne FakeWallet
La campagne, baptisée FakeWallet par Kaspersky, cible en fait les personnes qui cherchent à contourner la législation chinoise. En Chine, de nombreuses applications de cryptomonnaies sont officiellement interdites. Beaucoup d’utilisateurs chinois cherchent donc activement des alternatives pour contourner les restrictions. C’est pourquoi les applications factices, mentionnant une « version disponible en Chine », ont connu un certain succès.
« Le fait que ces applications de phishing parviennent à contourner les filtres initiaux pour apparaître en tête des résultats de recherche de l’App Store peut considérablement réduire la vigilance des utilisateurs », explique Kaspersky, soulignant que « la campagne ne soit pas exceptionnellement complexe ».
Pour dérober les fonds de leurs cibles, les applications se font passer pour des solutions officielles et réputées, comme MetaMask, Coinbase, Trust Wallet, Ledger, TokenPocket, imToken et Bitpie. Une fois installées, elles vont tout simplement réclamer les phrases de récupération des victimes. Ces phrases, composées d’une suite aléatoire de mots, permettent d’accéder à un portefeuille sur la blockchain sur un nouvel appareil. Avec la phrase de récupération, les pirates peuvent donc aisément siphonner tout le contenu d’un portefeuille. L’argent est rapidement collecté et transféré sur une autre adresse sur le réseau.
Les applications piégées interceptent cette phrase lors de la configuration ou de la restauration d’un portefeuille. La phrase était chiffrée avec un algorithme et transmise aux serveurs des pirates. Pour les portefeuilles physiques, comme Ledger, la technique d’attaque reposait sur une fausse fenêtre de « vérification de sécurité ». Celle-ci exigeait que l’utilisateur entre sa phrase de récupération pour vérifier que tout était en ordre.
À lire aussi : Arnaque crypto – une fraude géante a fait 20 000 victimes dans trois pays
Une fonction détournée pour piéger les investisseurs
Une fois lancée, chaque fausse application redirigeait l’utilisateur vers une page web imitant l’App Store. Celle-ci proposait ensuite de télécharger une version plus « complète » du portefeuille par le biais d’une fonction généralement réservée aux entreprises et aux développeurs, le profil de provisionnement iOS. Elle autorise une application à s’installer sur un iPhone en dehors de l’App Store. En l’occurrence, la fonction a été détournée pour installer des logiciels malveillants sur l’iPhone de la victime. D’ailleurs, l’option est devenue « un outil de prédilection pour les créateurs de logiciels piratés, de triches, de casinos en ligne et de malwares ».
Pour passer sous les radars d’Apple, les auteurs de l’attaque ont utilisé plusieurs astuces. Certaines applications se présentaient comme des jeux, des calculatrices ou des planificateurs de tâches. Les développeurs laissaient penser qu’il s’agissait d’une ruse visant à échapper aux restrictions chinoises, et que l’application crypto était bien légitime. Ils ont aussi glissé des petites fautes d’orthographe dans le nom de l’application, de façon à éviter les vérifications automatiques d’Apple.
Après SparKitty, les mêmes pirates s’attaquent à vos cryptos
Selon les investigations menées par Kaspersky, la campagne FakeWallet est liée à une autre opération malveillante récente, SparkKitty. Initiée l’automne dernier, cette cyberattaque reposait sur un cheval de Troie espion ciblant les smartphones Android et les iPhone. L’objectif du virus était de dérober les photos stockées dans la galerie des victimes, en particulier les captures d’écran contenant des phrases de récupération de portefeuilles crypto. Plusieurs indices laissent penser que le même groupe de pirates est à l’origine des deux opérations. Les deux campagnes utilisent des pages de phishing imitant l’App Store et plusieurs commentaires dans le code de leurs outils, virus et fausses apps, sont similaires. La campagne cible principalement la Chine, mais les modules malveillants utilisés dans le cadre de FakeWallet ne contiennent aucune restriction géographique et pourraient être utilisés dans n’importe quel autre pays.
Alerté par les chercheurs russes, Apple a supprimé les 26 applications malveillantes de l’App Store. La découverte de Kaspersky survient quelques jours après qu’une fausse application estampillée Ledger soit parvenue à pénétrer sur la plateforme d’Apple. Avant d’être éjectée, cette application a dépouillé des dizaines de personnes. Un utilisateur d’iPhone a même perdu 420 000 dollars dans l’incident.
Par mesure de précaution, on vous recommande de télécharger uniquement des applications depuis les liens officiels publiés sur le site du service crypto que vous utilisez, comme MetaMask.io, Ledger.com. Sur l’App Store, vérifiez systématiquement l’identité de l’éditeur. Si le nom du développeur ne correspond pas, ne téléchargez pas l’application. Vous pourriez perdre toutes vos cryptomonnaies.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
Kaspersky