ESET Research : applis WhatsApp et Telegram trojanisées volent des fonds de crypto-monnaie
Publié le 16/03/2023 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
● ESET Research trouve le premier cas de clippers intégrés dans des applis de messagerie instantanée.
● Les criminels s'attaquent aux fonds de crypto-monnaie des victimes en utilisant des applis Telegram et WhatsApp trojanisées pour Android et Windows.
● Le maliciel peut faire basculer les adresses de portefeuilles de crypto-monnaie que la victime envoie dans les messages de chat vers des adresses appartenant à l'attaquant.
● Certains clippers utilisent la reconnaissance optique de caractères (OCR) pour extraire le texte des captures d'écran et voler des phrases pour récupérer des portefeuilles de crypto-monnaies.
● En plus des clippers, ESET a également trouvé des chevaux de Troie d'accès à distance associés à des versions Windows malveillantes de WhatsApp et Telegram.


BRATISLAVA, le 16 mars 2023 - Les chercheurs d'ESET ont découvert des dizaines de sites Telegram et WhatsApp copiés, ciblant principalement les utilisateurs d'Android et de Windows avec des versions trojanisées de ces applis. La plupart des applis malveillantes identifiées sont des clippers, un type de maliciel qui vole ou modifie le contenu du presse-papier. Ils ciblent les fonds de crypto-monnaie des victimes et plusieurs d’entre eux ciblent les portefeuilles de crypto-monnaies. C'est la première fois qu'ESET voit des clippers Android se concentrer spécifiquement sur la messagerie instantanée. De plus, certaines de ces applis utilisent l‘OCR pour reconnaître les textes de captures d'écran stockés sur les appareils compromis. Ceci est aussi une première pour les maliciels Android.

Sur base du langage utilisé dans les applis copiées, il semble que les opérateurs derrière celles-ci cibleraient principalement les utilisateurs de langue chinoise. Étant donné que Telegram et WhatsApp sont bloqués en Chine depuis plusieurs années (Telegram depuis 2015 et WhatsApp depuis 2017), ceux qui souhaitent utiliser ces services doivent recourir à des moyens indirects pour les obtenir.

Les attaquants ont d'abord configuré Google Ads menant à des canaux YouTube frauduleux, qui ont ensuite redirigé les utilisateurs vers les sites Telegram et WhatsApp. ESET Research a immédiatement signalé à Google les publicités frauduleuses et les canaux YouTube associés, qui les a tous rapidement fermées.

"Le principal but des clippers découverts est d'intercepter les communications de messagerie de la victime et de remplacer toutes les adresses de portefeuilles de crypto-monnaies envoyées et reçues par des adresses appartenant aux attaquants. En plus des applis WhatsApp et Telegram Android trojanisées, nous avons également trouvé des versions Windows trojanisées des mêmes applis », explique Lukáš Štefanko, le chercheur d'ESET qui a découvert ces applis.

Bien qu'elles aient le même objectif, les versions trojanisées de ces applis contiennent diverses fonctionnalités supplémentaires. Les clippers Android analysés constituent le premier exemple de maliciel Android utilisant l'OCR pour lire des textes de captures d'écran et des photos stockées sur l'appareil de la victime. L'OCR est déployé afin de trouver et de voler une phrase de départ, qui est un code mnémonique composé d'une série de mots utilisés pour récupérer des portefeuilles de crypto-monnaies. Quand les acteurs malveillants mettent la main sur une phrase de départ, ils peuvent voler toute la crypto-monnaie à partir du portefeuille associé.

Dans d‘autres cas, le maliciel remplace simplement l'adresse du portefeuille de crypto-monnaie de la victime par l'adresse de l'attaquant lors de la communication par chat. Les adresses sont alors soit codées en dur (non modifiables), soit extraites dynamiquement du serveur de l'attaquant. Le maliciel peut aussi surveiller la communication Telegram à l'affût de certains mots-clés liés aux crypto-monnaies. Si un tel mot-clé est reconnu, le maliciel envoie alors le message complet au serveur de l'attaquant

ESET Research a aussi trouvé des versions Windows des clippers de modification de portefeuille, ainsi que des installateurs Telegram et WhatsApp pour Windows fournis avec des chevaux de Troie d'accès à distance (Remote Access Tojans-RAT). Loin du modèle connu, un des ensembles de maliciels liés à Windows n'est pas composé de clippers, mais de RAT qui permettent un contrôle total du système de la victime. Ainsi, les RAT peuvent voler des portefeuilles de crypto-monnaies sans perturber le flux de l'appli.

"N‘installez des applis qu‘à partir de sources dignes de confiance et fiables, telles que Google Play Store. Et, sur votre appareil, ne stockez pas d'images ou de captures d'écran non cryptées contenant des informations sensibles. Si vous pensez avoir une version de Telegram ou de WhatsApp avec cheval de Troie, supprimez-la manuellement et téléchargez l'appli soit depuis Google Play, soit directement depuis le site légitime », conseille Štefanko. "Pour Windows, si vous pensez que votre appli Telegram est malveillante, utilisez une solution de sécurité qui détectera la menace et la supprimera. Actuellement, la seule version officielle de WhatsApp pour Windows est disponible dans la boutique Microsoft.

Pour plus d'infos techniques sur les clippers intégrés aux applis de messagerie instantanée, consultez le blog « Messagerie pas si privée : les applis WhatsApp et Telegram trojanisées s'en prennent aux portefeuilles de crypto-monnaie » sur www.welivesecurity.com/ . Suivez aussi ESET Research sur Twitter ESET Research on Twitter pour les dernières nouvelles d'ESET Research.

A propos d’ESET Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/

Poster un commentaire
Vous devez être identifié pour accéder à cette fonctionnalité

Utilisateur
Mot de passe
 
Informaticien.be - © 2002-2024 AkretioSPRL  - Generated via Kelare
The Akretio Network: Akretio - Freedelity - KelCommerce - Votre publicité sur informaticien.be ?