Telegram et WhatsApp sont transformés en chevaux de Troie pour cibler les portefeuilles de crypto-monnaies
Des dizaines de sites web conçus pour diffuser des versions trojanisées des applications WhatsApp et Telegram ont été repérés et ciblent les utilisateurs d’Android et de Windows.
Comme l’ont découvert les chercheurs en sécurité d’ESET, la plupart de ces applications s’appuient sur un logiciel malveillant de type clipper conçu pour voler ou modifier le contenu du presse-papiers d’Android.
Pour en savoir plus sur les logiciels malveillants de type clipper, cliquez ici : L’application Shein accède aux données du presse-papiers sur les appareils Android
« Tous ces logiciels s’attaquent aux fonds en crypto-monnaie des victimes, plusieurs d’entre eux ciblant les portefeuilles de crypto-monnaie. C’est la première fois que nous avons vu des clippers Android se concentrer spécifiquement sur la messagerie instantanée », ont écrit Lukas Stefanko et Peter Strýček, chercheurs en logiciels malveillants chez ESET, dans un avis publié jeudi.
« En outre, certains des clippers ont abusé de l’OCR [reconnaissance optique de caractères] pour extraire des phrases mnémoniques à partir d’images sauvegardées sur les appareils des victimes, une utilisation malveillante de la technologie de lecture d’écran que nous avons vue pour la première fois. »
Les chercheurs en cybersécurité ont également déclaré avoir trouvé des versions Windows des clippeurs de changement de portefeuille, ainsi que des installateurs de Telegram et WhatsApp pour Windows, emballés avec des trojans d’accès à distance (RAT).
« Grâce à leurs différents modules, les RAT permettent aux attaquants de contrôler les machines des victimes.
D’un point de vue technique, Stefanko et Strýček ont expliqué que trojaniser Telegram était une tâche relativement simple pour les acteurs de la menace, car le code de l’appli est open source.
« En revanche, le code source de WhatsApp n’est pas accessible au public, ce qui signifie qu’avant de reconditionner l’application avec un code malveillant, les acteurs de la menace ont d’abord dû procéder à une analyse approfondie des fonctionnalités de l’app pour identifier les endroits spécifiques à modifier », peut-on lire dans l’avis d’ESET.
En ce qui concerne les victimes, les chercheurs en logiciels malveillants ont déclaré que les versions trojanisées des applications WhatsApp et Telegram ciblaient principalement les utilisateurs de langue chinoise.
« Parce que Telegram et WhatsApp sont tous deux bloqués en Chine depuis plusieurs années […], les personnes qui souhaitent utiliser ces services doivent recourir à des moyens indirects pour les obtenir », écrivent Stefanko et Strýček. « Sans surprise, cela constitue une opportunité mûre pour les cybercriminels d’abuser de la situation. »
Une campagne de logiciels malveillants distincte visant également le vol de crypto-monnaies a récemment été découverte par Proofpoint.
