13.2.19

ESET identifie le premier maliciel “clipper” sur Google Play




Les chercheurs d’ESET ont identifié, dans Google Play Store, le premier maliciel Android capable de remplacer le contenu du presse-paper (“clipboard”) d’un dispositif mobile. Ce type de “clipper” cible des opérations effectuées en crypto-monnaies Bitcoin et Ethereum dans le but de détourner les sommes transférées et de les diriger vers le portefeuille du pirate, en en privant ainsi la victime.

« En découvrant ce maliciel, nous pouvons démontrer que les “extracteurs” qui sont capables de rediriger des fonds en crypto-monnaies ne se limitent plus au seul environnement Windows ou à d’obscurs forums Android. Désormais, tous les utilisateurs Android doivent s’en méfier », déclare Lukáš Štefanko, chercheur ESET spécialisé en maliciels.

Le nouveau “clipper”, désigné par l’appellation Android/Clipper.C, profite du fait que les personnes qui font des opérations en crypto-monnaies n’entrent généralement pas l’adresse de leur portefeuille en ligne de manière manuelle. Elles ont plutôt tendance à copier et coller les adresses en recourant à la fonction presse-papier. Le maliciel peut alors remplacer l’adresse avec celle du pirate.

Les “clippers” ont tout d’abord fait leur apparition au sein de l’écosystème Windows et ce, dès 2017. L’année suivante, les chercheurs d'ESET ont même identifié trois applications malveillantes de ce type hébergées sur download.cnet.com, l’un des sites d’hébergement de logiciels les plus fréquentés au monde. En août 2018, le premier “clipper” Android fut découvert, proposé à la vente sur des forums clandestins de piratage. Depuis lors, ce maliciel a été repéré sur plusieurs magasins d’applis interlopes.

Toutefois, jusqu’en 2019, les utilisateurs Android qui s’en tenaient au magasin d’applis Google Play officiel ne devait pas craindre les clippers. La situation a changé en février 2019 lorsque des chercheurs d’ESET ont découvert le premier “clipper” sur Google Play. « Nous avons heureusement détecté ce clipper peu de temps après qu’il ait été implanté. Nous l’avons signalé à l’équipe de sécurité de Google Play qui a supprimé l’appli de la boutique », souligne Lukáš Štefanko.

Le clipper qu’ESET a trouvé rôdant dans le magasin Google Play usurpe l’identité d’un service parfaitement légitime baptisé MetaMask. Ce service, conçu pour permettre de gérer des applis décentralisées Ethereum dans un navigateur sans devoir déployer un nœud complet Ethereum, se présente sous la forme de modules destinés à des navigateurs pour ordinateurs de bureau tels que Chrome et Firefox. Aucune version mobile du service n’est disponible.
“ Il semble exister une demande pour une version mobile de MetaMask. Les cybercriminels e savent et incrustent subrepticement des maliciels se faisant passer pour ce service dans le magasin Google Play », avertit Lukáš Štefanko.

Ce maliciel plus ancien qui se fait passer pour MetaMask s’attaque également aux fonds Bitcoin ou Ethereum de l’utilisateur. Il se contente toutefois d’essayer de piéger l’utilisateur pour l’inciter à entrer son adresse de portefeuille dans un formulaire fictif, ce qui a pour effet de rendre cette information sensible visible pour le pirate.

« Rien de plus facile que de dérober des fonds, une fois un clipper installé sur le système de la victime. Ce sont en effet les victimes elles-mêmes qui, involontairement, envoient leurs fonds directement au pirate », explique Lukáš Štefanko.

La première manifestation du maliciel clipper sur Google Play rappelle qu’il est impératif pour les utilisateurs Android de s’en tenir aux bonnes pratiques en matière de sécurité mobile.
Pour se protéger contre les clippers et autres maliciels Android, ESET propose les conseils suivants:

·                     Procédez systématiquement à la mise à jour de votre appareil Android et recourez à une solution fiable de sécurité mobile
·                     N’utilisez que la boutique officielle Google Play lorsque vous téléchargez des applis…
·                     … Toutefois, consultez toujours le site Internet officiel du développeur de l’appli ou du prestataire de services pour y trouver le lien vers l’appli officielle. Si vous n’en trouvez aucun, voyez-y un signal d’alarme et soyez extrêmement circonspect par rapport à tout résultat que génèrera la Google Play
·                     Revérifiez chaque étape de toutes les transactions qui impliquent quoi que ce soit de valeur, qu’il s’agisse d’informations sensibles ou d’argent. Lorsque vous utilisez votre presse-papier, vérifiez toujours si ce que vous avez collé est bel et bien le libellé de ce que vous aviez l’intention d’encoder.
L’article publié sur le blog WeLiveSecurity d’ESET contient davantage d’informations sur les indicateurs d’atteinte de sécurité ainsi que des détails techniques.

Cette découverte arrive au bon moment pour Mobile World Congress, où Lukáš Štefanko sera présent sur le stand d’ESET pour des interviews . ESET y présentera l’apprentissage automatique et l’intelligence artificielle ainsi que les tout derniers résultats en matière de sécurité mobile. Hall 7, Stand 7H41.