Des versions de WhatsApp et Telegram infectées par des chevaux de Troie, visant des utilisateurs Android et Windows, ont été découvertes par le spécialiste cyber ESET Research.
Les chercheurs d'ESET ont déniché plusieurs dizaines de faux sites web WhatsApp et Telegram ciblant essentiellement des utilisateurs des OS Android et Windows. Les hackers ont infecté des versions des deux messageries instantanées à l'aide de chevaux de Troie. C'est d'ailleurs la première fois qu'ESET découvre des applications malwares « clippers » intégrées à des applications de ce type.
Les hackers appâtent d'abord leurs victimes grâce à des vidéos sur YouTube
Le clipper, mieux vaut le rappeler, est un malware qui modifie ou vole le contenu du presse-papiers. Les applications malveillantes découvertes ont la particularité de toutes s'intéresser aux fonds en cryptomonnaies des victimes, aux portefeuilles de monnaies virtuelles. Plusieurs de ces malwares vont même jusqu'à utiliser la reconnaissance optique de caractères (OCR) pour identifier du texte que l'on retrouve sur des captures d'écran stockées sur les téléphones Android compromis. On vous explique tout ça plus loin dans notre article.
Pour le moment, il semblerait que les hackers ciblent davantage les utilisateurs Telegram et WhatsApp parlant le chinois, en maximisant leur potentiel du fait que les deux messageries instantanées sont interdites dans l'empire du Milieu depuis 2015 et 2017 respectivement. Ce qui pousse les utilisateurs à accéder à ces applications par tous les moyens possibles et les font plus facilement tomber dans le piège tendu par les pirates.
Pour appâter leurs victimes, les attaquants ont dans un premier temps diffusé des publicités sur Google, redirigeant les internautes vers des chaînes YouTube à l'apparence légitime mais qui en réalité étaient frauduleuses. Les vidéos ont ensuite aidé à pousser les internautes sur des sites web imitant ceux de Telegram et WhatsApp. Les chaînes, signalées, ont depuis été fermées par Google.
Différentes techniques utilisées pour dérober les portefeuilles de cryptomonnaies des victimes
« L'objectif principal des clippers que nous avons découverts est d'intercepter les communications de messagerie de la victime et de remplacer toutes les adresses de portefeuilles de cryptomonnaies envoyées et reçues par des adresses appartenant aux attaques », explique le chercheur Lukas Stefanko, qui a découvert les applications malveillantes.
Si ces versions malveillantes servent le même objectif, elles ont d'autres fonctionnalités. L'OCR dont nous parlions (qui peut lire le texte des captures d'écran de votre appareil) est déployée dans le but de trouver et de voler la phrase secrète. Le code mnémonique composé d'une série de mots est alors utilisé pour récupérer les portefeuilles de cryptomonnaies. Une fois la phrase secrète découverte, les hackers peuvent voler toutes les cryptomonnaies dans le portefeuille.
Un autre cas a aussi été découvert : le logiciel malveillant remplace l'adresse du portefeuille de cryptos de la victime par celle de l'attaquant, directement dans les communications par messagerie. Les adresses sont alors récupérées en dur, ou alors depuis le serveur du pirate. Les chercheurs ont aussi identifié le cas où le malware surveille les échanges Telegram pour débusquer des mots-clés liés aux cryptomonnaies. Dès qu'il reconnaît un mot-clé, le logiciel envoie le message complet au serveur du hacker.
Outre les versions Android des applis WhatsApp et Telegram, des versions Windows ont aussi été découvertes, avec notamment des programmes d'installation de Telegram et de WhatsApp pour l'OS de Microsoft, intégrant des chevaux de Troie d'accès à distance. Ces derniers ne comportent pas de clipper, mais un outil d'accès à distance qui permet de prendre le contrôle du système de la personne piégée. Les attaquants peuvent alors tranquillement voler les portefeuilles de cryptomonnaies sans intercepter le flux de l'application.
Les conseils à suivre 📝
- Sur Android, mieux vaut télécharger l'application depuis le site web légitime ou depuis la boutique Google Play.
- Sur Windows, la seule version officielle de WhatsApp est disponible dans la boutique Microsoft.
Source : ESET Research