Les meilleures analyses crypto directement dans votre boîte mail.
De nouvelles campagnes de chevaux de Troie attaquent des centaines de portefeuilles de cryptomonnaies et d'applications bancaires
- Quatre familles de chevaux de Troie Android ciblent activement plus de 800 applications de cryptomonnaie, bancaires et de médias sociaux.
- Ils utilisent de fausses interfaces de connexion, le vol d'dentet des méthodes antidétection.
- Les chevaux de Troie se propagent via des sites d'hameçonnage, de fausses offres d'emploi ou des arnaques par SMS.
Des chercheurs en cybersécurité ont découvert quatre familles actives de logiciels malveillants Android ciblant plus de 800 applications, notamment des portefeuilles de cryptomonnaies et des applications bancaires. Ces logiciels malveillants utilisent des méthodes que la plupart des outils de sécurité traditionnels ne peuvent détecter.
L'équipe zLabs de Zimperium a publié des résultats tracles chevaux de Troie connus sous les noms de RecruitRat, SaferRat, Astrinox et Massiv.
D'après les recherches de l'entreprise, chaque famille dispose de son propre réseau de commande et de contrôle qu'elle utilise pour voler les informations de connexion, prendre le contrôle des transactions financières et obtenir les données des utilisateurs à partir des appareils infectés.
Les applications de cryptomonnaies et bancaires sont confrontées à de nouvelles menaces provenant de multiples logiciels malveillants
Ces familles de logiciels malveillants constituent une menace directe pour toute personne gérant des cryptomonnaies sur Android.
Une fois installés, les chevaux de Troie peuvent superposer de faux écrans de connexion à de véritables applications bancaires et de cryptomonnaies, dérobant ainsi en temps réel les mots de passe et autres informations privées. Le logiciel malveillant affiche ensuite une fausse page HTML par-dessus l'interface de l'application réelle, créant ce que l'entreprise qualifie de « façade trompeuse et extrêmement convaincante »
« En utilisant les services d'accessibilité pour surveiller le premier plan, le logiciel malveillant détecte le moment précis où une victime lance une application financière », ont écrit les chercheurs en sécurité de Zimperium.
D'après le rapport, ces chevaux de Troie ne se contentent pas de voler desdent. Ils peuvent aussi capturer les codes d'accès à usage unique, diffuser l'écran d'un appareil aux pirates, masquer leurs propres icônes d'application et empêcher leur désinstallation.
Chaque campagne utilise un appât différent pour inciter les gens à se faire avoir.
SaferRat se propageait via de faux sites web promettant un accès gratuit à des services de streaming premium. RecruitRat dissimulait son code malveillant dans le cadre d'une candidature à un emploi, redirigeant les victimes vers des sites d'hameçonnage les incitant à télécharger un fichier APK malveillant.
Astrinox utilisait la même méthode de recrutement, via le domaine xhire[.]cc. Le contenu affiché variait selon l'appareil utilisé pour accéder au site.
Les utilisateurs Android ont été invités à télécharger un fichier APK, tandis que les utilisateurs iOS ont vu une page ressemblant à l' d'Apple App Store
Il n'a pas été possible de confirmer comment Massiv a été distribué au cours du cycle de recherche.
Les quatre chevaux de Troie utilisaient tous une infrastructure d'hameçonnage, des arnaques par SMS et une ingénierie sociale qui jouaient sur le besoin des gens d'agir rapidement ou sur leur curiosité pour les inciter à installer des applications malveillantes.
Le logiciel malveillant de cryptographie échappe à la détection
Ces campagnes visent à contourner les outils de sécurité.
Les chercheurs ont découvert que les familles de logiciels malveillants utilisent des techniques anti-analyse avancées et une altération structurelle des packages d'applications Android (APK) pour maintenir ce que l'entreprise a appelé des « taux de détection quasi nuls face aux mécanismes de sécurité traditionnels basés sur la signature »
Les communications réseau se mêlent également au trafic normal. Les chevaux de Troie utilisent les connexions HTTPS et WebSocket pour communiquer avec leurs serveurs de commande. Certaines versions ajoutent des couches de chiffrement supplémentaires à ces connexions.
Un autre élément important est la persistance. Les chevaux de Troie bancaires Android modernes n'utilisent plus de simples infections en une seule étape. Ils emploient désormais des processus d'installation en plusieurs étapes conçus pour contourner l'évolution du modèle d'autorisations d'Android, qui a rendu plus difficile pour les applications d'agir sans l'autorisation explicite de l'utilisateur.
Le rapport n'a pasdentde portefeuilles ou de plateformes d'échange parmi les plus de 800 applications ciblées. Cependant, en raison des attaques par superposition, de l'interception des mots de passe et du streaming d'écran, toute application de cryptomonnaies Android pourrait être vulnérable si un utilisateur installe un fichier APK malveillant provenant d'une source autre que le Google Play Store.
Le téléchargement d'applications à partir de liens contenus dans des SMS, des offres d'emploi ou des sites web promotionnels reste l'un des moyens garantis pour les logiciels malveillants mobiles de s'introduire dans un smartphone.
Les personnes qui gèrent leurs cryptomonnaies sur des appareils Android ne devraient utiliser que les boutiques d'applications officielles et se méfier des messages contextuels leur demandant de télécharger quelque chose.
Votre banque utilise votre argent. Vous ne récupérez que les miettes. Regardez notre vidéo gratuite pour devenir votre propre banque.
FAQ
Quelles sont les quatre familles de chevaux de Troie Android ciblant les applications de cryptomonnaie ?
Ces chevaux de Troie se nomment RecruitRat, SaferRat, Astrinox et Massiv. Chacun possède son propre système de commande et de contrôle lui permettant de voler des informations de connexion et de prendre le contrôle des transactions financières de plus de 800 applications bancaires et de cryptomonnaies.
Comment ces chevaux de Troie volent-ils lesdentde connexion crypto ?
Ce logiciel malveillant effectue des attaques par superposition en affichant une fausse page de connexion par-dessus l'interface réelle lorsqu'un utilisateur ouvre une application de cryptomonnaie ou bancaire. Il peut également récupérer les codes d'accès à usage unique (OTP), envoyer une capture d'écran de l'appareil aux attaquants et empêcher la désinstallation du logiciel.
Comment les victimes sont-elles infectées par ces chevaux de Troie bancaires Android ?
Les attaquants diffusent le logiciel malveillant via des sites web d'hameçonnage, de faux sites de recrutement, de faux sites de streaming et des arnaques par SMS qui incitent les gens à télécharger des fichiers APK malveillants.
Avertissement : Les informations fournies ne constituent pas un conseil en investissement. CryptopolitanCryptopolitan.com toute responsabilité quant aux investissements réalisés sur la base des informations présentées sur cette page. Nous voustrondentdentdentdentdentdentdentdent et/ou de consulter un professionnel qualifié avant toute décision d’investissement.
LES
- Quelles cryptomonnaies peuvent vous faire gagner de l'argent ?
- Comment renforcer la sécurité de votre portefeuille (et lesquels valent vraiment la peine d'être utilisés)
- Stratégies d'investissement peu connues utilisées par les professionnels
- Comment débuter en investissement crypto (quelles plateformes d'échange utiliser, quelles cryptomonnaies acheter, etc.)