Dans une rcente dcouverte alarmante, des chercheurs en scurit ont identifi plus de 280 applications malveillantes sur Android qui utilisent la reconnaissance optique de caractres (OCR) pour voler les identifiants des portefeuilles de cryptomonnaies. Cette nouvelle menace met en lumire les mthodes sophistiques employes par les cybercriminels pour accder aux actifs numriques des utilisateurs.
Dans une re o les cryptomonnaies gagnent en popularit et en valeur, la scurit des actifs numriques devient une proccupation majeure. Rcemment, des chercheurs en scurit ont dcouvert une nouvelle menace inquitante : plus de 280 applications Android malveillantes utilisent la reconnaissance optique de caractres (OCR) pour voler les identifiants des portefeuilles de cryptomonnaies.
Les dtails de la menace
Les applications malveillantes identifies se prsentent souvent comme des applications lgitimes, telles que des applications bancaires, des services gouvernementaux, des services de streaming TV et des services publics. En ralit, elles parcourent les tlphones infects la recherche de messages texte, de contacts et de toutes les images stockes et les envoient subrepticement des serveurs distants contrls par les dveloppeurs de l’application. Les applications sont disponibles sur des sites malveillants et sont distribues dans des messages d’hameonnage envoys aux cibles. Rien n’indique que ces applications taient disponibles sur Google Play.
Une fois installes sur les appareils des utilisateurs, ces applications commencent scanner les tlphones infects la recherche de messages texte, de contacts et dimages stockes. Les donnes collectes sont ensuite envoyes des serveurs distants contrls par les dveloppeurs de ces applications malveillantes.
Un niveau de sophistication lev
L’aspect le plus remarquable de la campagne de logiciels malveillants rcemment dcouverte est que les acteurs de la menace qui en sont l’origine utilisent un logiciel de reconnaissance optique de caractres pour tenter d’extraire les informations d’identification des portefeuilles de crypto-monnaies qui figurent sur les images stockes sur les appareils infects. De nombreux portefeuilles permettent aux utilisateurs de les protger l’aide d’une srie de mots alatoires. Pour la plupart des gens, il est plus facile de se souvenir de ces identifiants mnmotechniques que de l’enchevtrement de caractres qui apparat dans la cl prive. Les mots sont galement plus faciles reconnatre dans les images.
SangRyol Ryu, chercheur la socit de scurit McAfee, a fait cette dcouverte aprs avoir obtenu un accs non autoris aux serveurs qui recevaient les donnes voles par les applications malveillantes. Cet accs tait le rsultat de configurations de scurit faibles effectues lors du dploiement des serveurs. Ryu a ainsi pu lire des pages accessibles aux administrateurs des serveurs.
Le rle de lOCR
La reconnaissance optique de caractres (OCR) est une technologie qui permet de convertir des images de texte tap, manuscrit ou imprim en texte encod par machine. Dans le contexte de cette menace, les cybercriminels utilisent lOCR pour extraire les phrases de rcupration des portefeuilles de cryptomonnaies partir des images stockes sur les appareils infects. Ces phrases de rcupration, souvent constitues de mots alatoires, sont essentielles pour accder aux portefeuilles et aux actifs numriques des utilisateurs. Une fois que les attaquants ont accs ces phrases, ils peuvent facilement transfrer les fonds vers leurs propres portefeuilles.
Une page, affiche dans l’image ci-dessous, tait particulirement intressante. Elle prsentait une liste de mots en haut et une image correspondante, prise partir d’un tlphone infect, en bas. Les mots reprsents visuellement dans l’image correspondaient aux mmes mots.
C’est d’ailleurs ce que note Ryu : Ciblage des portefeuilles de crypto-monnaies : En examinant la page, il est apparu clairement que l’un des principaux objectifs des attaquants tait d’obtenir les phrases de rcupration mnmotechniques des portefeuilles de crypto-monnaies. Cela suggre que l’accent est mis sur l’accs aux crypto-actifs des victimes, voire sur leur puisement .
La sophistication de lattaque
Ce qui distingue cette campagne de logiciels malveillants, cest le niveau de sophistication dmontr par les attaquants. Ils utilisent des scripts Python et JavaScript ct serveur pour traiter les donnes voles. Les images sont converties en texte via lOCR, puis organises et gres travers un panneau dadministration. Cette approche montre une matrise avance de la manipulation et de lutilisation des informations voles. De plus, les attaquants utilisent des techniques de dissimulation pour viter la dtection par les logiciels de scurit, rendant ces applications encore plus dangereuses.
Et Ryu d’expliquer Traitement et gestion des donnes : Cette menace utilise Python et Javascript ct serveur pour traiter les donnes voles. Plus prcisment, les images sont converties en texte l’aide de techniques de reconnaissance optique de caractres (OCR), qui sont ensuite organises et gres par l’intermdiaire d’un panneau administratif. Ce processus suggre un niveau lev de sophistication dans le traitement et l’utilisation des informations voles .
Les consquences pour les utilisateurs
Les consquences de cette menace pour les utilisateurs peuvent tre dvastatrices. La perte daccs un portefeuille de cryptomonnaies peut entraner la perte de sommes importantes, surtout si les utilisateurs ne disposent pas de sauvegardes adquates de leurs phrases de rcupration. De plus, la compromission des informations personnelles peut exposer les utilisateurs dautres formes de cybercriminalit, telles que le vol didentit et les fraudes financires
Les personnes qui craignent d’avoir install l’une des applications malveillantes sont invites consulter l’article de McAfee pour obtenir une liste des sites web associs et des hachages cryptographiques.
Le logiciel malveillant a reu plusieurs mises jour au fil du temps. Alors qu’il utilisait auparavant le protocole HTTP pour communiquer avec les serveurs de contrle, il se connecte dsormais par l’intermdiaire de WebSockets, un mcanisme plus difficile analyser pour les logiciels de scurit. Les WebSockets prsentent l’avantage supplmentaire d’tre un canal plus polyvalent.
Les dveloppeurs ont galement mis jour les applications pour mieux dissimuler leurs fonctions malveillantes. Les mthodes d’obscurcissement comprennent le codage des chanes de caractres l’intrieur du code afin qu’elles ne soient pas facilement lisibles par l’homme, l’ajout de code non pertinent et le changement de nom des fonctions et des variables, autant d’lments qui confondent les analystes et rendent la dtection plus difficile. Alors que les logiciels malveillants sont principalement limits la Core du Sud, ils ont rcemment commenc se rpandre au Royaume-Uni.
Cette volution est importante car elle montre que les acteurs de la menace largissent leur champ d’action la fois sur le plan dmographique et gographique , crit Ryu. Le passage au Royaume-Uni indique une tentative dlibre des attaquants d’largir leurs oprations, en visant probablement de nouveaux groupes d’utilisateurs avec des versions localises du logiciel malveillant.
Comment se protger ?
Pour se protger contre cette menace, il est crucial de suivre certaines bonnes pratiques de scurit :
- Tlcharger des applications uniquement depuis des sources fiables : vitez de tlcharger des applications partir de sources non vrifies ou de liens envoys par e-mail ou SMS. Utilisez des plateformes de tlchargement officielles comme le Google Play Store. Il faut garder l’esprit que la prsence d’une application sur le Play Store n’est en rien un gage de scurit ; nombreuses sont les applications malveillantes qui traversent les mailles du filet de Google pour se retrouver sur sa vitrine de tlchargement.
- tre vigilant face aux e-mails de phishing et aux liens suspects : Les cybercriminels utilisent souvent des techniques de phishing pour inciter les utilisateurs tlcharger des applications malveillantes. Soyez prudent et vrifiez toujours lauthenticit des messages que vous recevez.
- Utiliser des solutions de scurit robustes : Installez des logiciels de scurit sur vos appareils pour dtecter et bloquer les applications malveillantes. Assurez-vous que ces logiciels sont rgulirement mis jour pour bnficier des dernires protections.
- Sauvegarder rgulirement les phrases de rcupration : Conservez une copie de vos phrases de rcupration dans un endroit sr, hors ligne. vitez de les stocker sur votre appareil ou de les envoyer par e-mail.
- Activer lauthentification deux facteurs (2FA) : Lauthentification deux facteurs ajoute une couche de scurit supplmentaire en exigeant une deuxime forme de vrification pour accder vos comptes.
Conclusion
Cette dcouverte souligne limportance de la vigilance et de la scurit numrique dans le monde des cryptomonnaies. Les utilisateurs doivent tre conscients des risques et prendre des mesures proactives pour protger leurs actifs numriques. En suivant les bonnes pratiques de scurit et en restant informs des dernires menaces, les utilisateurs peuvent rduire leur exposition aux cyberattaques.
Source : McAfee
Et vous ?
Quels sont, selon vous, les principaux dfis de la scurit des cryptomonnaies aujourdhui ?
Pensez-vous que les utilisateurs sont suffisamment informs des risques lis aux applications malveillantes ? Pourquoi ou pourquoi pas ?
Quelles mesures supplmentaires les dveloppeurs dapplications et les plateformes de tlchargement devraient-ils prendre pour protger les utilisateurs ?
Avez-vous dj t victime dune attaque de ce type ou connaissez-vous quelquun qui la t ? Comment avez-vous ragi ?
Comment valuez-vous lefficacit des technologies de reconnaissance optique de caractres (OCR) dans le domaine de la cyberscurit ?
Quelles autres technologies mergentes pourraient tre utilises par les cybercriminels pour cibler les utilisateurs de cryptomonnaies ?
Quels conseils donneriez-vous quelquun qui dbute dans lutilisation des cryptomonnaies pour viter de tomber dans ces piges ?
Pensez-vous que les rgulations gouvernementales peuvent jouer un rle dans la rduction de ces menaces ? Si oui, comment ?