Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert des dizaines de faux sites web Telegram et WhatsApp, ciblant principalement des utilisateurs d’Android et de Windows via des versions de ces applications de messagerie instantanée infectées par des chevaux de Troie.
La plupart des applications malveillantes que nous avons identifiées sont appelées des « clippers », un type de malware qui vole ou modifie le contenu du presse-papiers. Toutes s’intéressent aux fonds en cryptomonnaies des victimes, et plusieurs d’entre elles visent des portefeuilles de cryptomonnaies.
Certains malwares utilisent la reconnaissance optique de caractères
C’était la première fois qu’ESET Research rencontrait des clippers sur Android se concentrer spécifiquement sur la messagerie instantanée. Certains de ces malwares utilisent même la reconnaissance optique de caractères (OCR) pour reconnaître du texte dans les captures d’écran stockées sur les appareils compromis, ce qui est une autre première pour les malwares Android.
Au vu de la langue utilisée dans les applications détournées, il semble que les opérateurs ciblent principalement des utilisateurs sinophones. Telegram et WhatsApp sont bloqués en Chine depuis plusieurs années ; depuis 2015 pour Telegram et depuis 2017 pour WhatsApp. Les personnes qui souhaitent utiliser ces services doivent recourir à des moyens indirects pour les obtenir.
Les auteurs de la menace ont d’abord mis en place des publicités Google menant à des chaînes YouTube frauduleuses, qui redirigeaient ensuite les internautes vers des sites web imitant ceux de Telegram et de WhatsApp. ESET Research a immédiatement signalé les publicités frauduleuses et les chaînes YouTube correspondantes à Google, qui les a rapidement fermées.
Des versions de WhatsApp et Telegram modifiées
« L’objectif principal des clippers que nous avons découverts est d’intercepter les communications de messagerie de la victime et de remplacer toutes les adresses de portefeuilles de cryptomonnaies envoyées et reçues par des adresses appartenant aux attaquants. En plus des versions Android des applications WhatsApp et Telegram, nous avons également trouvé des versions Windows, » explique Lukáš Štefanko, le chercheur d’ESET qui a découvert les applications malveillantes.
Bien qu’elles servent le même objectif, les versions malveillantes de ces applications contiennent différentes fonctionnalités supplémentaires. Les clippers analysés sur Android constituent le premier exemple de malware Android utilisant l’OCR pour lire du texte dans des captures d’écran et des photos stockées sur l’appareil de la victime. L’OCR est déployée afin de trouver et voler la phrase secrète. Ce code mnémonique composé d’une série de mots est utilisé pour récupérer les portefeuilles de cryptomonnaies. Une fois que les cybercriminels se sont emparés d’une phrase secrète, ils sont en mesure de voler directement toutes les cryptomonnaies dans le portefeuille associé.
Le malware envoie le message complet au serveur de l’attaquant
Dans un autre cas, le logiciel malveillant remplace simplement dans les communications par messagerie l’adresse du portefeuille de cryptomonnaies de la victime par celle de l’attaquant. Les adresses sont soit codées en dur, soit récupérées dynamiquement à partir du serveur de l’attaquant. Dans un autre cas encore, le malware surveille les communications Telegram pour y rechercher certains mots-clés liés aux cryptomonnaies. Lorsqu’un tel mot-clé est reconnu, le malware envoie le message complet au serveur de l’attaquant.
ESET Research a également trouvé des versions Windows des clippers de substitution de portefeuille, ainsi que des programmes d’installation de Telegram et de WhatsApp pour Windows intégrant des chevaux de Troie d’accès à distance. Ces derniers s’écartent du modèle établi. Ils ne comportent pas de clipper, mais un outil d’accès à distance qui permet un contrôle total du système de la victime. De cette manière, les cybercriminels sont en mesure de voler les portefeuilles de cryptomonnaies sans intercepter le flux de l’application.
« N’installez des applications qu’uniquement à partir de sources fiables, telles que Google Play, et ne stockez pas sur votre appareil des images ou des captures d’écran non chiffrées contenant des informations sensibles. Si vous pensez avoir installé une version malveillante de Telegram ou de WhatsApp, supprimez-la manuellement de votre appareil, et téléchargez l’application soit à partir de Google Play soit directement à partir du site web légitime, » conseille M. Štefanko. « Pour Windows, si vous pensez que votre application Telegram est malveillante, utilisez une solution de sécurité pour détecter la menace et la supprimer. La seule version officielle de WhatsApp pour Windows est actuellement disponible dans la boutique Microsoft ».