Des vols de cryptomonnaies perpétrés via des applications WhatsApp et Telegram infectées

Les chercheurs d’ESET ont découvert des dizaines de faux sites web Telegram et WhatsApp, ciblant principalement des utilisateurs d’Android et de Windows via des versions de ces applications de messagerie instantanée infectées par des chevaux de Troie. La plupart des applications malveillantes identifiées sont appelées des « clippers », un type de malware qui vole ou modifie le contenu du presse-papiers. Toutes s’intéressent aux fonds en cryptomonnaies des victimes, et plusieurs d’entre elles visent des portefeuilles de cryptomonnaies. C’était la première fois qu’ESET Research rencontrait des clippers sur Android se concentrer spécifiquement sur la messagerie instantanée. Certains de ces malwares utilisent même la reconnaissance optique de caractères (OCR) pour reconnaître du texte dans les captures d’écran stockées sur les appareils compromis, ce qui est une autre première pour les malwares Android.

Au vu de la langue utilisée dans les applications détournées, il semble que les opérateurs ciblent principalement des utilisateurs sinophones. Telegram et WhatsApp sont bloqués en Chine depuis plusieurs années, depuis 2015 pour Telegram et depuis 2017 pour WhatsApp. Les personnes qui souhaitent utiliser ces services doivent recourir à des moyens indirects pour les obtenir.

Les auteurs de la menace ont d’abord mis en place des publicités Google menant à des chaînes YouTube frauduleuses, qui redirigeaient ensuite les internautes vers des sites web imitant ceux de Telegram et de WhatsApp. ESET Research a déjà signalé les publicités frauduleuses et les chaînes YouTube correspondantes à Google, qui les a rapidement fermées.

« L’objectif principal des clippers que nous avons découverts est d’intercepter les communications de messagerie de la victime et de remplacer toutes les adresses de portefeuilles de cryptomonnaies envoyées et reçues par des adresses appartenant aux attaquants. En plus des versions Android des applications WhatsApp et Telegram, nous avons également trouvé des versions Windows » explique Lukáš Štefanko, le chercheur d’ESET qui a découvert les applications malveillantes.

Bien qu’elles servent le même objectif, les versions malveillantes de ces applications contiennent différentes fonctionnalités supplémentaires. Les clippers analysés sur Android constituent le premier exemple de malware Android utilisant l’OCR pour lire du texte dans des captures d’écran et des photos stockées sur l’appareil de la victime. L’OCR est déployée afin de trouver et voler la phrase secrète. Ce code mnémonique composé d’une série de mots est utilisé pour récupérer les portefeuilles de cryptomonnaies. Une fois que les cybercriminels se sont emparés d’une phrase secrète, ils sont en mesure de voler directement toutes les cryptomonnaies dans le portefeuille associé.

Dans un autre cas, le logiciel malveillant remplace simplement dans les communications par messagerie l’adresse du portefeuille de cryptomonnaies de la victime par celle de l’attaquant. Les adresses sont soit codées en dur, soit récupérées dynamiquement à partir du serveur de l’attaquant. Dans un autre cas encore, le malware surveille les communications Telegram pour y rechercher certains mots-clés liés aux cryptomonnaies. Lorsqu’un tel mot-clé est reconnu, le malware envoie le message complet au serveur de l’attaquant.

ESET Research a également trouvé des versions Windows des clippers de substitution de portefeuille, ainsi que des programmes d’installation de Telegram et de WhatsApp pour Windows intégrant des chevaux de Troie d’accès à distance. Ces derniers s’écartent du modèle établi. Ils ne comportent pas de clipper, mais un outil d’accès à distance qui permet un contrôle total du système de la victime. De cette manière, les cybercriminels sont en mesure de voler les portefeuilles de cryptomonnaies sans intercepter le flux de l’application.

L'illustration ci-dessous présente le fonctionnement des chevaux de Troie utilisés par les cybercriminels 

diagram_whatsapp_telegram

 

Si vous êtes détenteur de portefeuilles de cryptomonnaies, Lukáš Štefanko vous suggère les recommandations suivantes :

  • N'installer des applications qu’uniquement à partir de sources fiables, telles que Google Play
  • Ne pas stocker sur votre appareil des images ou des captures d’écran non chiffrées contenant des informations sensibles
  • Pour Windows, si vous pensez que votre application Telegram est malveillante, utilisez une solution de sécurité pour détecter la menace et la supprimer. La seule version officielle de WhatsApp pour Windows est actuellement disponible dans la boutique Microsoft
  • Si vous pensez avoir installé une version malveillante de Telegram ou de WhatsApp, supprimez-la manuellement de votre appareil, et téléchargez l’application soit à partir de Google Play soit directement à partir du site web légitime

 

La Rédaction d'Africa Cybersecurity Mag