Les chercheurs d’ESET ont
identifié, dans Google Play Store, le premier maliciel Android capable de
remplacer le contenu du presse-paper (“clipboard”) d’un dispositif
mobile. Ce type de “clipper” cible des opérations effectuées en crypto-monnaies
Bitcoin et Ethereum dans le but de détourner les sommes transférées et de les
diriger vers le portefeuille du pirate, en en privant ainsi la victime.
« En découvrant ce
maliciel, nous pouvons démontrer que les “extracteurs” qui sont capables de
rediriger des fonds en crypto-monnaies ne se limitent plus au seul
environnement Windows ou à d’obscurs forums Android. Désormais, tous les
utilisateurs Android doivent s’en méfier », déclare Lukáš Štefanko,
chercheur ESET spécialisé en maliciels.
Le nouveau “clipper”,
désigné par l’appellation Android/Clipper.C, profite du fait que les personnes
qui font des opérations en crypto-monnaies n’entrent généralement pas l’adresse
de leur portefeuille en ligne de manière manuelle. Elles ont plutôt tendance à
copier et coller les adresses en recourant à la fonction presse-papier. Le
maliciel peut alors remplacer l’adresse avec celle du pirate.
Les “clippers” ont tout
d’abord fait leur apparition au sein de l’écosystème Windows et ce, dès 2017.
L’année suivante, les chercheurs
d'ESET ont même identifié trois applications malveillantes de ce type hébergées sur download.cnet.com,
l’un des sites d’hébergement de logiciels les plus fréquentés au monde. En août
2018, le premier “clipper” Android fut
découvert, proposé à la vente sur des forums clandestins de piratage.
Depuis lors, ce maliciel a été repéré sur plusieurs magasins d’applis
interlopes.
Toutefois, jusqu’en 2019,
les utilisateurs Android qui s’en tenaient au magasin d’applis Google Play
officiel ne devait pas craindre les clippers. La situation a changé en février
2019 lorsque des chercheurs d’ESET ont découvert le premier “clipper” sur
Google Play. « Nous avons heureusement détecté ce clipper peu de temps
après qu’il ait été implanté. Nous l’avons signalé à l’équipe de sécurité de
Google Play qui a supprimé l’appli de la boutique », souligne Lukáš
Štefanko.
Le clipper qu’ESET a
trouvé rôdant dans le magasin Google Play usurpe l’identité d’un service
parfaitement légitime baptisé MetaMask. Ce service, conçu pour
permettre de gérer des applis
décentralisées Ethereum dans un navigateur sans devoir déployer un nœud
complet Ethereum, se présente sous la forme de modules destinés à des
navigateurs pour ordinateurs de bureau tels que Chrome et Firefox. Aucune
version mobile du service n’est disponible.
“ Il semble exister une
demande pour une version mobile de MetaMask. Les cybercriminels e savent et
incrustent subrepticement des maliciels se faisant passer pour ce service dans
le magasin Google Play », avertit Lukáš Štefanko.
Ce maliciel plus ancien
qui se fait passer pour MetaMask s’attaque également aux fonds Bitcoin ou
Ethereum de l’utilisateur. Il se contente toutefois d’essayer de piéger
l’utilisateur pour l’inciter à entrer son adresse de portefeuille dans un
formulaire fictif, ce qui a pour effet de rendre cette information sensible
visible pour le pirate.
« Rien de plus
facile que de dérober des fonds, une fois un clipper installé sur le système de
la victime. Ce sont en effet les victimes elles-mêmes qui, involontairement,
envoient leurs fonds directement au pirate », explique Lukáš Štefanko.
La première manifestation
du maliciel clipper sur Google Play rappelle qu’il est impératif pour les
utilisateurs Android de s’en tenir aux bonnes pratiques en matière de sécurité
mobile.
Pour se protéger contre
les clippers et autres maliciels Android, ESET propose les conseils suivants:
·
Procédez systématiquement à la mise à
jour de votre appareil Android et recourez à une solution fiable de sécurité
mobile
·
N’utilisez que la boutique officielle
Google Play lorsque vous téléchargez des applis…
·
… Toutefois, consultez toujours le site
Internet officiel du développeur de l’appli ou du prestataire de services pour
y trouver le lien vers l’appli officielle. Si vous n’en trouvez aucun, voyez-y
un signal d’alarme et soyez extrêmement circonspect par rapport à tout résultat
que génèrera la Google Play
·
Revérifiez chaque étape de toutes les
transactions qui impliquent quoi que ce soit de valeur, qu’il s’agisse
d’informations sensibles ou d’argent. Lorsque vous utilisez votre
presse-papier, vérifiez toujours si ce que vous avez collé est bel et bien le
libellé de ce que vous aviez l’intention d’encoder.
L’article publié sur le blog WeLiveSecurity d’ESET contient
davantage d’informations sur les indicateurs d’atteinte de sécurité ainsi que
des détails techniques.
Cette découverte arrive au bon moment pour Mobile
World Congress, où Lukáš Štefanko sera présent sur le stand d’ESET pour des
interviews . ESET y présentera l’apprentissage automatique et l’intelligence
artificielle ainsi que les tout derniers résultats en matière de sécurité
mobile. Hall 7, Stand 7H41.