Dans une récente découverte alarmante, des chercheurs en sécurité ont identifié plus de 280 applications malveillantes sur Android qui utilisent la reconnaissance optique de caractères (OCR) pour voler les identifiants des portefeuilles de cryptomonnaies. Cette nouvelle menace met en lumière les méthodes sophistiquées employées par les cybercriminels pour accéder aux actifs numériques des utilisateurs.Dans une ère où les cryptomonnaies gagnent en popularité et en valeur, la sécurité des actifs numériques devient une préoccupation majeure. Récemment, des chercheurs en sécurité ont découvert une nouvelle menace inquiétante : plus de 280 applications Android malveillantes utilisent la reconnaissance optique de caractères (OCR) pour voler les identifiants des portefeuilles de cryptomonnaies.
Les détails de la menace
Les applications malveillantes identifiées se présentent souvent comme des applications légitimes, telles que des applications bancaires, des services gouvernementaux, des services de streaming TV et des services publics. En réalité, elles parcourent les téléphones infectés à la recherche de messages texte, de contacts et de toutes les images stockées et les envoient subrepticement à des serveurs distants contrôlés par les développeurs de l'application. Les applications sont disponibles sur des sites malveillants et sont distribuées dans des messages d'hameçonnage envoyés aux cibles. Rien n'indique que ces applications étaient disponibles sur Google Play.
Une fois installées sur les appareils des utilisateurs, ces applications commencent à scanner les téléphones infectés à la recherche de messages texte, de contacts et d’images stockées. Les données collectées sont ensuite envoyées à des serveurs distants contrôlés par les développeurs de ces applications malveillantes.
Un niveau de sophistication élevé
L'aspect le plus remarquable de la campagne de logiciels malveillants récemment découverte est que les acteurs de la menace qui en sont à l'origine utilisent un logiciel de reconnaissance optique de caractères pour tenter d'extraire les informations d'identification des portefeuilles de crypto-monnaies qui figurent sur les images stockées sur les appareils infectés. De nombreux portefeuilles permettent aux utilisateurs de les protéger à l'aide d'une série de mots aléatoires. Pour la plupart des gens, il est plus facile de se souvenir de ces identifiants mnémotechniques que de l'enchevêtrement de caractères qui apparaît dans la clé privée. Les mots sont également plus faciles à reconnaître dans les images.
SangRyol Ryu, chercheur à la société de sécurité McAfee, a fait cette découverte après avoir obtenu un accès non autorisé aux serveurs qui recevaient les données volées par les applications malveillantes. Cet accès était le résultat de configurations de sécurité faibles effectuées lors du déploiement des serveurs. Ryu a ainsi pu lire des pages accessibles aux administrateurs des serveurs.
Le rôle de l’OCR
La reconnaissance optique de caractères (OCR) est une technologie qui permet de convertir des images de texte tapé, manuscrit ou imprimé en texte encodé par machine. Dans le contexte de cette menace, les cybercriminels utilisent l’OCR pour extraire les phrases de récupération des portefeuilles de cryptomonnaies à partir des images stockées sur les appareils infectés. Ces phrases de récupération, souvent constituées de mots aléatoires, sont essentielles pour accéder aux portefeuilles et aux actifs numériques des utilisateurs. Une fois que les attaquants ont accès à ces phrases, ils peuvent facilement transférer les fonds vers leurs propres portefeuilles.
Une page, affichée dans l'image ci-dessous, était particulièrement intéressante. Elle présentait une liste de mots en haut et une image correspondante, prise à partir d'un téléphone infecté, en bas. Les mots représentés visuellement dans l'image correspondaient aux mêmes mots.
C'est d'ailleurs ce que note Ryu : « Ciblage des portefeuilles de crypto-monnaies : En examinant la page, il est apparu clairement que l'un des principaux objectifs des attaquants était d'obtenir les phrases de récupération mnémotechniques des portefeuilles de crypto-monnaies. Cela suggère que l'accent est mis sur l'accès aux crypto-actifs des victimes, voire sur leur épuisement ».
La sophistication de l’attaque
Ce qui distingue cette campagne de logiciels malveillants, c’est le niveau de sophistication démontré par les attaquants. Ils utilisent des scripts Python et JavaScript côté serveur pour traiter les données volées. Les images sont converties en texte via l’OCR, puis organisées et gérées à travers un panneau d’administration. Cette approche montre une maîtrise avancée de la manipulation et de l’utilisation des informations volées. De plus, les attaquants utilisent des techniques de dissimulation pour éviter la détection par les logiciels de sécurité, rendant ces applications encore plus dangereuses.
Et Ryu d'expliquer « Traitement et gestion des données : Cette menace utilise Python et Javascript côté serveur pour traiter les données volées. Plus précisément, les images sont converties en texte à l'aide de techniques de reconnaissance optique de caractères (OCR), qui sont ensuite organisées et gérées par l'intermédiaire d'un panneau administratif. Ce processus suggère un niveau élevé de sophistication dans le traitement et l'utilisation des informations volées ».
Les conséquences pour les utilisateurs
Les conséquences de cette menace pour les utilisateurs peuvent être dévastatrices. La perte d’accès à un portefeuille de cryptomonnaies peut entraîner la perte de sommes importantes, surtout si les utilisateurs ne disposent pas de sauvegardes adéquates de leurs phrases de récupération. De plus, la compromission des informations personnelles peut exposer les utilisateurs à d’autres formes de cybercriminalité, telles que le vol d’identité et les fraudes financières
Les personnes qui craignent d'avoir installé l'une des applications malveillantes sont invitées à consulter l'article de McAfee pour obtenir une liste des sites web associés et des hachages cryptographiques.
Le logiciel malveillant a reçu plusieurs mises à jour au fil du temps. Alors qu'il utilisait auparavant le protocole HTTP pour communiquer avec les serveurs de contrôle, il se connecte désormais par l'intermédiaire de WebSockets, un mécanisme plus difficile à analyser pour les logiciels de sécurité. Les WebSockets présentent l'avantage supplémentaire d'être un canal plus polyvalent.
Les développeurs ont également mis à jour les applications pour mieux dissimuler leurs fonctions malveillantes. Les méthodes d'obscurcissement comprennent le codage des chaînes de caractères à l'intérieur du code afin qu'elles ne soient pas facilement lisibles par l'homme, l'ajout de code non pertinent et le changement de nom des fonctions et des variables, autant d'éléments qui confondent les analystes et rendent la détection plus difficile. Alors que les logiciels malveillants sont principalement limités à la Corée du Sud, ils ont récemment commencé à se répandre au Royaume-Uni.
« Cette évolution est importante car elle montre que les acteurs de la menace élargissent leur champ d'action à la fois sur le plan démographique et géographique », écrit Ryu. « Le passage au Royaume-Uni indique une tentative délibérée des attaquants d'élargir leurs opérations, en visant probablement de nouveaux groupes d'utilisateurs avec des versions localisées du logiciel malveillant. »
Comment se protéger ?
Pour se protéger contre cette menace, il est crucial de suivre certaines bonnes pratiques de sécurité :
- Télécharger des applications uniquement depuis des sources fiables : Évitez de télécharger des applications à partir de sources non vérifiées ou de liens envoyés par e-mail ou SMS. Utilisez des plateformes de téléchargement officielles comme le Google Play Store. Il faut garder à l'esprit que la présence d'une application sur le Play Store n'est en rien un gage de sécurité ; nombreuses sont les applications malveillantes qui traversent les mailles du filet de Google pour se retrouver sur sa vitrine de téléchargement.
- Être vigilant face aux e-mails de phishing et aux liens suspects : Les cybercriminels utilisent souvent des techniques de phishing pour inciter les utilisateurs à télécharger des applications malveillantes. Soyez prudent et vérifiez toujours l’authenticité des messages que vous recevez.
- Utiliser des solutions de sécurité robustes : Installez des logiciels de sécurité sur vos appareils pour détecter et bloquer les applications malveillantes. Assurez-vous que ces logiciels sont régulièrement mis à jour pour bénéficier des dernières protections.
- Sauvegarder régulièrement les phrases de récupération : Conservez une copie de vos phrases de récupération dans un endroit sûr, hors ligne. Évitez de les stocker sur votre appareil ou de les envoyer par e-mail.
- Activer l’authentification à deux facteurs (2FA) : L’authentification à deux facteurs ajoute une couche de sécurité supplémentaire en exigeant une deuxième forme de vérification pour accéder à vos comptes.
Conclusion
Cette découverte souligne l’importance de la vigilance et de la sécurité numérique dans le monde des cryptomonnaies. Les utilisateurs doivent être conscients des risques et prendre des mesures proactives pour protéger leurs actifs numériques. En suivant les bonnes pratiques de sécurité et en restant informés des dernières menaces, les utilisateurs peuvent réduire leur exposition aux cyberattaques.
Source : McAfee
Et vous ?
Quels sont, selon vous, les principaux défis de la sécurité des cryptomonnaies aujourd’hui ? Pensez-vous que les utilisateurs sont suffisamment informés des risques liés aux applications malveillantes ? Pourquoi ou pourquoi pas ? Quelles mesures supplémentaires les développeurs d’applications et les plateformes de téléchargement devraient-ils prendre pour protéger les utilisateurs ? Avez-vous déjà été victime d’une attaque de ce type ou connaissez-vous quelqu’un qui l’a été ? Comment avez-vous réagi ? Comment évaluez-vous l’efficacité des technologies de reconnaissance optique de caractères (OCR) dans le domaine de la cybersécurité ? Quelles autres technologies émergentes pourraient être utilisées par les cybercriminels pour cibler les utilisateurs de cryptomonnaies ? Quels conseils donneriez-vous à quelqu’un qui débute dans l’utilisation des cryptomonnaies pour éviter de tomber dans ces pièges ? Pensez-vous que les régulations gouvernementales peuvent jouer un rôle dans la réduction de ces menaces ? Si oui, comment ?