EcranMobile.fr : l'actualité du marketing mobile

WhatsApp et Telegram infectés par des chevaux de Troie, voleurs de cryptomonnaies


ESET Research a découvert des applications WhatsApp et Telegram infectées par des chevaux de Troie, voleurs de cryptomonnaies.



Les chercheurs d’ESET ont découvert des dizaines de faux sites web Telegram et WhatsApp, ciblant principalement des utilisateurs d’Android et de Windows via des versions de ces applications de messagerie instantanée infectées par des chevaux de Troie.

La plupart des applications malveillantes que nous avons identifiées sont appelées des « clippers », un type de malware qui vole ou modifie le contenu du presse-papiers. Toutes s’intéressent aux fonds en cryptomonnaies des victimes, et plusieurs d’entre elles visent des portefeuilles de cryptomonnaies.

C’était la première fois qu’ESET Researchrencontrait des clippers sur Android se concentrer spécifiquement sur la messagerie instantanée. Certains de ces malwares utilisent même la reconnaissance optique de caractères (OCR) pour reconnaître du texte dans les captures d’écran stockées sur les appareils compromis, ce qui est une autre première pour les malwares Android.

Au vu de la langue utilisée dans les applications détournées, il semble que les opérateurs ciblent principalement des utilisateurs sinophones. Telegram et WhatsApp sont bloqués en Chine depuis plusieurs années ; depuis 2015 pour Telegram et depuis 2017 pour WhatsApp. Les personnes qui souhaitent utiliser ces services doivent recourir à des moyens indirects pour les obtenir.

Les auteurs de la menace ont d’abord mis en place des publicités Google menant à des chaînes YouTube frauduleuses, qui redirigeaient ensuite les internautes vers des sites web imitant ceux de Telegram et de WhatsApp. ESET Research a immédiatement signalé les publicités frauduleuses et les chaînes YouTube correspondantes à Google, qui les a rapidement fermées.

Bien qu’elles servent le même objectif, les versions malveillantes de ces applications contiennent différentes fonctionnalités supplémentaires. Les clippers analysés sur Android constituent le premier exemple de malware Android utilisant l’OCR pour lire du texte dans des captures d’écran et des photos stockées sur l’appareil de la victime. L’OCR est déployée afin de trouver et voler la phrase secrète. Ce code mnémonique composé d’une série de mots est utilisé pour récupérer les portefeuilles de cryptomonnaies.

Une fois que les cybercriminels se sont emparés d’une phrase secrète, ils sont en mesure de voler directement toutes les cryptomonnaies dans le portefeuille associé.    Dans un autre cas, le logiciel malveillant remplace simplement dans les communications par messagerie l’adresse du portefeuille de cryptomonnaies de la victime par celle de l’attaquant. Les adresses sont soit codées en dur, soit récupérées dynamiquement à partir du serveur de l’attaquant. Dans un autre cas encore, le malware surveille les communications Telegram pour y rechercher certains mots-clés liés aux cryptomonnaies. Lorsqu’un tel mot-clé est reconnu, le malware envoie le message complet au serveur de l’attaquant.   

ESET Research a également trouvé des versions Windows des clippers de substitution de portefeuille, ainsi que des programmes d’installation de Telegram et de WhatsApp pour Windows intégrant des chevaux de Troie d’accès à distance. Ces derniers s’écartent du modèle établi. Ils ne comportent pas de clipper, mais un outil d’accès à distance qui permet un contrôle total du système de la victime. De cette manière, les cybercriminels sont en mesure de voler les portefeuilles de cryptomonnaies sans intercepter le flux de l’application.

 



Tags : whatsapp
Mercredi 22 Mars 2023


Technologies | Entretiens | Usages | Business | Revue de web | Focus


Recherche Archives


Newsletter Email / RCS

Inscrivez-vous à notre newsletter pour suivre nos actualités.

Le champ SMS doit contenir entre 6 et 19 chiffres et inclure le code pays sans utiliser +/0 (ex. : 33xxxxxxxxx pour la France)
?

Nous utilisons Brevo en tant que plateforme marketing. En soumettant ce formulaire, vous acceptez que les données personnelles que vous avez fournies soient transférées à Brevo pour être traitées conformément à la politique de confidentialité de Brevo.

Terminé