La combine ? Farfouiller dans les photos de la galerie des internautes à la recherche d’une capture d’écran de leur phrase de récupération pour leur cryptowallet.
Si vous êtes vous-même titulaire d’un portefeuille de cryptomonnaies, vous n’êtes pas sans savoir que l’accès à vos actifs est protégé par une clé privée complexe, généralement transcrite en phrase de passe. Ces combinaisons de mots générées aléatoirement par le cryptowallet au moment de son activation comprennent habituellement entre 12 et 24 termes, ce qui les rend difficiles à retenir. De fait, il est souvent conseillé aux internautes de sauvegarder leur phrase de passe quelque part. Et naturellement, nombre d’entre eux en font une capture d’écran qu’ils stockent dans leur galerie mobile. Grossière erreur…
La reconnaissance optique de caractères pour piller les cryptowallets
Comme le rapporte McAfee dans un billet de blog, ses équipes de chercheurs sont parvenues à identifier plus de 280 applications Android vérolées, porteuse d’un malware baptisé SpyAgent capable de dérober les données des smartphones sur lesquels elles sont installées. D’après les premières observations, il s’agit exclusivement d’APK téléchargées en dehors du Google Play Store.
Dans le détail, ces applis imitent toutes des services légitimes, comme des clients bancaires, des portails gouvernementaux ou encore des plateformes de streaming, de manière à gagner la confiance des internautes piégés. Au cours du processus d’installation, l’APK frauduleuse demande l’autorisation d’accéder à divers emplacements et données du téléphone, parmi lesquels les SMS, les contacts, le stockage et la possibilité de s’exécuter en arrière-plan. Bien évidemment, toutes ces requêtes sont justifiées comme nécessairement au bon fonctionnement de l’application, poussant l’utilisateur ou l’utilisatrice à accepter sans remettre en question le caractère intrusif de telles demandes.
Une fois l’APK installée, elle copie de manière classique les données auxquelles elle peut accéder et les envoie à un serveur distant administré par des cyberattaquants. De l’autre côté du pont, les pirates récupèrent donc contacts, messages, informations relatives à l’appareil et… photos qu’ils analysent à l’aide d’un module de reconnaissance optique de caractères (OCR) pour extraire les phrases de passe protégeant les cryptowallets.
Un malware qui gagne du terrain
Si les équipes de McAfee pensent que la distribution de SpyAgent sert essentiellement à dérober des cryptos, c’est parce qu’elles ont pu accéder à l’interface du serveur pirate distant, insuffisamment sécurisé. Au cours de leur enquête, les chercheurs ont ainsi mis la main sur une liste de numéros de téléphone infectés par le malware, auxquels sont rattachées diverses données parmi lesquelles des phrases de passe en clair.
Outre le vol d’actifs, SpyAgent est en mesure de recevoir et d’exécuter des instructions sur le smartphone des victimes. Au milieu des commandes servant à confirmer la réception par le serveur distant des informations exfiltrées, l’une d’entre elles doit pouvoir autoriser le malware à envoyer des SMS. Un point très problématique qui laisse entendre que les pirates peuvent se servir des messageries mobiles pour propager SpyAgent à plus grande échelle, dissimulé derrière l’identité des utilisateurs et utilisatrices piratés.
Aujourd’hui, SpyAgent est essentiellement actif en Asie, mais l’évolution du malware et sa récente découverte sur des terminaux au Royaume-Uni tendent à démontrer que les cyberattaquants élargissent leur champ d’action géographique.
21 novembre 2024 à 11h06
Pour éviter toute déconvenue, on rappellera donc qu’il est impératif de ne jamais cliquer sur des liens de téléchargement d’APK, même s’ils proviennent de vos contacts. De manière générale, privilégiez toujours l’installation de vos applications via le Google Play Store lorsqu’elles y sont disponibles. Et enfin, si vous faites partie de celles et ceux à stocker vos identifiants et phrases de passe sous forme de captures d’écran pour vous en souvenir, il va falloir revoir votre stratégie mnémotechnique et éventuellement opter pour un gestionnaire de mots de passe, bien plus sécurisé – et pratique, il faut le dire – qu’une photo de vos codes secrets.
Source : McAfee
- moodEssai 30 jours
- devices1 à 10 appareils
- phishingAnti-phishing inclus
- local_atmAnti-ransomware inclus
- groupsContrôle parental inclus
McAfee réalise une belle progression sur cette nouvelle version et dans la catégorie des suites de sécurité vraiment pensées pour les utilisateurs grand public, il se hisse même parmi les meilleurs. Sa nouvelle interface horripilera forcément un « power user » qui aura l’impression d’être pris par la main en permanence, mais pour une solution qui s’adresse essentiellement à des utilisateurs « technophobes », on peut apprécier le travail de guidage et la cohérence de l’interface, que ce soit entre les différents écrans et entre les versions desktop et mobile. Il manque tout de même toujours à McAfee ce petit plus qui lui permettrait d’être infaillible, et tout en gardant un très bon niveau de protection, il semble tout de même accuser une petite contreperformance sur les menaces zero day.
- Nouvelle interface cohérente et didactique
- Protection efficace dans l'ensemble
- Focus sur la protection de l'identité
- Quelques fonctionnalités en moins (apps mobiles)
- Approche grand public qui peut diviser