Les chercheurs d’ESET ont découvert des dizaines de faux sites web Telegram et WhatsApp, ciblant principalement des utilisateurs d’Android et de Windows via des versions de ces applications de messagerie instantanée infectées par des chevaux de Troie. La plupart des applications malveillantes identifiées sont appelées des « clippers », un type de malware qui vole ou modifie le contenu du presse-papiers. Toutes s’intéressent aux fonds en cryptomonnaies des victimes, et plusieurs d’entre elles visent des portefeuilles de cryptomonnaies. Certains de ces malwares utilisent même la reconnaissance optique de caractères (OCR) pour reconnaître du texte dans les captures d’écran stockées sur les appareils compromis, ce qui est une autre première pour les malwares Android.
Les auteurs de la menace ont d’abord mis en place des publicités Google menant à des chaînes YouTube frauduleuses, qui redirigeaient ensuite les internautes vers des sites web imitant ceux de Telegram et de WhatsApp. Suite aux signalements réalisés par les équipes d'ESET Research, Google les a rapidement fermées. Il reste néanmoins possible que de nouvelles campagnes apparaissent sur le même principe.
Lukáš Štefanko, le chercheur d’ESET qui a découvert les applications malveillantes explique à ce sujet que « L’objectif principal des clippers que nous avons découverts est d’intercepter les communications de messagerie de la victime et de remplacer toutes les adresses de portefeuilles de cryptomonnaies envoyées et reçues par des adresses appartenant aux attaquants. En plus des versions Android des applications WhatsApp et Telegram, nous avons également trouvé des versions Windows ».
Bien qu’elles servent le même objectif, les versions malveillantes de ces applications contiennent différentes fonctionnalités supplémentaires. Les clippers analysés sur Android constituent le premier exemple de malware Android utilisant l’OCR pour lire du texte dans des captures d’écran et des photos stockées sur l’appareil de la victime. L’OCR est déployée afin de trouver et voler la phrase secrète. Ce code mnémonique composé d’une série de mots est utilisé pour récupérer les portefeuilles de cryptomonnaies. Une fois que les cybercriminels se sont emparés d’une phrase secrète, ils sont en mesure de voler directement toutes les cryptomonnaies dans le portefeuille associé.
Dans un autre cas, le logiciel malveillant remplace simplement dans les communications par messagerie l’adresse du portefeuille de cryptomonnaies de la victime par celle de l’attaquant. Les adresses sont soit codées en dur, soit récupérées dynamiquement à partir du serveur de l’attaquant. Dans un autre cas encore, le malware surveille les communications Telegram pour y rechercher certains mots-clés liés aux cryptomonnaies. Lorsqu’un tel mot-clé est reconnu, le malware envoie le message complet au serveur de l’attaquant.
ESET Research a également trouvé des versions Windows des clippers de substitution de portefeuille, ainsi que des programmes d’installation de Telegram et de WhatsApp pour Windows intégrant des chevaux de Troie d’accès à distance. Ces derniers s’écartent du modèle établi. Ils ne comportent pas de clipper, mais un outil d’accès à distance qui permet un contrôle total du système de la victime. De cette manière, les cybercriminels sont en mesure de voler les portefeuilles de cryptomonnaies sans intercepter le flux de l’application.
M. Štefanko conseille de « N’installez des applications qu’uniquement à partir de sources fiables, telles que Google Play, et ne stockez pas sur votre appareil des images ou des captures d’écran non chiffrées contenant des informations sensibles. Si vous pensez avoir installé une version malveillante de Telegram ou de WhatsApp, supprimez-la manuellement de votre appareil, et téléchargez l’application soit à partir de Google Play soit directement à partir du site web légitime, ». « Pour Windows, si vous pensez que votre application Telegram est malveillante, utilisez une solution de sécurité pour détecter la menace et la supprimer. La seule version officielle de WhatsApp pour Windows est actuellement disponible dans la boutique Microsoft. »
Pour plus d’informations techniques sur les clippers intégrés aux applications de messagerie instantanée, consultez l’article « Not-so-private messaging: Trojanized WhatsApp and Telegram apps go after cryptocurrency wallets »