Google Play surpris en train d’héberger une application qui vole la cryptomonnaie des utilisateurs
En remplaçant l’adresse de leur portefeuille

Les voleurs de cryptomonnaie qui remplacent l’adresse de portefeuille des utilisateurs finaux de cryptomonnaie dans le presse-papiers sont passés à une autre étape en ce début d’année. Après avoir sévi sur les plateformes Windows ou dans les boutiques non officielles d’applications Android, un type d’application, qui remplace l'adresse du portefeuille de cryptomonnaie des utilisateurs par des adresses contrôlées par les développeurs de logiciels malveillants, a été détecté sur Google Play, la boutique d’applications officielles de Google, d’après un billet de blog publié le vendredi dernier par un chercheur d’Eset.

En effet, les adresses des portefeuilles de cryptomonnaie en ligne sont composées de longues chaînes de caractères, justement pour protéger les détenteurs de fonds de cryptomonnaie contre le vol et autres formes de malveillance. A cause de la longueur des adresses, au lieu de les saisir à chaque utilisation, les utilisateurs ont tendance à copier et coller les adresses en utilisant le presse-papiers. Un type de logiciel malveillant, connu sous le nom de « clipper », en profite, en interceptant et en remplaçant les adresses de portefeuilles copiées dans le presse-papiers Android par une adresse appartenant à des attaquants, a déclaré l'auteur du billet de blog.

Dans le cas d'une transaction en cryptomonnaie, l'utilisateur concerné peut se retrouver avec l'adresse du portefeuille copié discrètement par l'attaquant où il déposerait des fonds pensant qu’il est en train de les transférer sur son propre portefeuille.

Nom : App Store.jpg
Affichages : 19652
Taille : 34,2 Ko

Ce n’est pas la première fois que Google Play héberge des applications malveillantes. En février 2015, L'entreprise de sécurité Avast a découvert des applications malveillantes dans l’app store de Google qui pourraient avoir infecté plus de 10 millions d'utilisateurs Android, voire beaucoup plus. En mai 2016, les chercheurs en sécurité de l’entreprise Check Point ont également découvert une campagne de propagation de logiciels malveillants sur la vitrine Google Play qu’ils ont baptisée Viking Horde, en s'inspirant du nom porté par l’une des applications qui servent de foyer de propagation et qui ont réussi à passer les mailles du filet de sécurité de Google Play. Cette campagne consistait à lancer des annonces frauduleuses, mais les applications pouvaient aussi être utilisées pour lancer certaines attaques comme des attaques DDoS, faire des messages spam et bien d’autres encore. Pour ne citer que ces exemples.

En ce qui concerne la récente découverte des chercheurs d’Eset, cette forme dangereuse de logiciel malveillant n’était pas à sa première apparition. Depuis au moins 2017, les utilisateurs de Windows ont été victimes de ces logiciels malveillants connus sous le nom de clipper. L'an dernier, un botnet connu sous le nom de Satori a été mis à jour pour infecter les ordinateurs destinés à l’extraction de pièces de monnaie avec des logiciels malveillants qui ont également changé les adresses des portefeuilles. Ce même type de logiciel malveillant a également été repéré dans les boutiques d'applications Android non officielles pendant l'été 2018. En février 2019, le clipper de la boutique officielle de Google, Google Play, a été découvert par les chercheurs de d’Eset, d’après le billet de blog.

Il s'est fait passer pour un service appelé MetaMask, qui est conçu pour permettre aux navigateurs d'exécuter des applications qui fonctionnent avec la pièce numérique Ethereum. D’après le billet de blog du chercheur, le but premier du clipper de Google Play était de voler les identifiants nécessaires afin de prendre le contrôle des fonds Ethereum. Mais, il a également remplacé les adresses légitimes des portefeuilles des utilisateurs de bitcoin et Ethereum copiées dans le presse-papiers par des adresses appartenant aux attaquants.

Selon les chercheurs d’Eset, bien que les malwares qui optent pour la technique de remplacement d’adresses de portefeuilles de cryptomonnaie soit récents, ils peuvent être considérés comme bien établis. Pour preuve, les chercheurs d'Eset ont découvert un malware de ce type hébergé sur download.cnet.com, l'un des sites d'hébergement de logiciels les plus populaires au monde. Selon ces chercheurs, le premier clipper Android a été découvert en vente sur des forums de piratage souterrains en août 2018. Et en début de cette année, ce malware a échappé aux radars de sécurité de Google Play pour se retrouver dans cette boutique officielle de Google.

Selon le billet de blog, les chercheurs ont repéré Android/Clipper.C (le nom que les chercheurs d’Eset ont donné au clipper de Google Play) le 1er février 2019, peu de temps après son introduction dans la boutique d’applications Android.

Le clipper de Google Play s’attaquait à une catégorie d’utilisateur de la cryptomonnaie. A ce propos, le chercheur d’Eset et auteur du billet de bog, Lukas Stefanko, a écrit que « Cette attaque cible les utilisateurs qui souhaitent utiliser la version mobile du service MetaMask, conçue pour exécuter des applications décentralisées Ethereum dans un navigateur, sans avoir à exécuter un nœud Ethereum complet. Cependant, le service n'offre actuellement pas d'application mobile – seulement des add-ons pour les navigateurs de bureau tels que Chrome et Firefox. »

Nom : Meta.png
Affichages : 19523
Taille : 93,8 Ko

Selon le billet de blog, ce n’est pas la première fois qu’une application malveillante se faisant passer pour MetaMask est détectée sur Google Play. Toutefois, les précédentes n'ont fait qu'hameçonner pour obtenir des informations sensibles dans le but d'accéder aux fonds de cryptomonnaie des victimes. Selon Stefanko, c'est la première fois qu'un logiciel malveillant clipper, qui remplace l’adresse légitime des portefeuilles de cryptomonnaie par celle des attaquants, est hébergé dans l’app store de Google. Le clipper a été supprimé de la boutique d’applications dès lors qu’il a été signalé à l'équipe de sécurité de Google Play.

Le clipper découvert dans le magasin Android de Google est une preuve que le radar de sécurité de Google Play ne peut pas détecter automatique toutes les menaces potentielles afin de les empêcher de s’installer dans la boutique d’application. Il se trouve que cette tâche revient finalement à l’utilisateur, lui-même, de pouvoir faire la distinction entre une application digne de confiance et une application malveillante avant de décider de l’installer ou non. Il convient donc de limiter le nombre d’applications téléchargées à partir des magasins d’applications, et surtout de vérifier la légitimité de celles qu’on aura choisies d’installer sur son périphérique.

Et selon l’auteur du billet de blog, une façon de s’assurer de la légitimité d'une application est de vérifier si l’application appartient effectivement à son prétendu développeur annoncé dans le magasin, en visitant indépendamment son site Web. Cette vérification a permis de savoir que le site officiel de MetaMask ne faisait aucune mention d'une application Android de ce genre. Cela aurait dû être un signal d'alarme que l'offre de Google Play n’était pas légitime.

L’auteur conseille aux utilisateurs des portefeuilles de cryptomonnaie de vérifiez toujours, lorsqu’ils utilisent le presse-papiers, si l’adresse qu’ils ont collée correspond à celle qu’ils avaient l'intention de saisir.

Source : Billet de Blog

Et vous ?

Que pensez-vous de la présence d’une telle application dangereuse dans l’app store de Google ?
Etes-vous utilisateurs de le cryptomonnaie ? Si oui, quelles dispositions avez-vous prises pour éviter tels désagréments ?
Quelles seraient vos recommandations pour détecter ou se prémunir plus facilement contre les arnaques de ce genre, en particulier, et contre les malwares qui échappé aux radars de sécurité de Google Play, en général ?

Lire aussi

Arnaque sur le réseau Ethereum en marge de l'introduction de nouveaux hard forks : les cas de Ethereum Nowa et ETCV
L'Ethereum compte réduire sa consommation d'énergie de 99 % en remplaçant le système de validation par preuve de travail, par preuve d'enjeu
Bitcoin a 10 ans : la crypto-monnaie conserve sa première place avec une capitalisation de 67 MMM$, soit 51% du total de tous les crypto-actifs
Google Play Store : Swift Cleaner abrite un malware aux fonctionnalités multiples, l'application sert pourtant d'outil d'optimisation
Viking Horde : des logiciels malveillants ont échappé aux radars de sécurité de Google Play, et transforment les dispositifs infectés en botnet