Des chercheurs en s\u00e9curit\u00e9 ont d\u00e9couvert une op\u00e9ration de logiciels malveillants \u00e0 grande \u00e9chelle qui utilise des applications de porte-monnaie mobiles trojanis\u00e9es pour les services imToken, TokenPocket, Coinbase et MetaMask.<\/p>\n\n\n\n
Les activit\u00e9s des acteurs de la menace ont \u00e9t\u00e9 d\u00e9couvertes plus t\u00f4t en mars de cette ann\u00e9e. Les chercheurs de Confiant ont nomm\u00e9 l’activit\u00e9 du logiciel malveillant en tant que groupe SeaFlower, le d\u00e9crivant comme \u00ab\u00a0la menace la plus techniquement sophistiqu\u00e9e ciblant les utilisateurs Web3\u00a0\u00bb \u00e0 l’heure actuelle. La menace du logiciel malveillant est compar\u00e9e \u00e0 celle du c\u00e9l\u00e8bre Lazarus Group.<\/p>\n\n\n\n
Le rapport des chercheurs indique que les applications cryptographiques malveillantes ressemblent aux applications originales, mais qu’elles sont \u00e9quip\u00e9es d’une porte d\u00e9rob\u00e9e qui vole la phase de s\u00e9curit\u00e9 des utilisateurs utilis\u00e9e pour acc\u00e9der aux actifs num\u00e9riques.<\/p>\n\n\n\n
Le rapport indique que les hackers \u00e0 l’origine du logiciel malveillant SeaFlower semblent \u00eatre chinois d’apr\u00e8s certains d\u00e9tails de leur attaque. Les services qu’ils ont utilis\u00e9s, les cadres, l’emplacement de l’infrastructure et le code source semblent \u00eatre li\u00e9s \u00e0 la Chine.<\/p>\n\n\n\n
Les hackers ont utilis\u00e9 des techniques agressives pour diffuser le logiciel malveillant<\/strong><\/p>\n\n\n\n Les hackers ont utilis\u00e9 des m\u00e9thodes agressives de distribution d’applications pour diffuser l’application trojanis\u00e9e SeaFlower au plus grand nombre d’utilisateurs possible. Pour ce faire, les hackers ont utilis\u00e9 des clones de sites Web l\u00e9gitimes, des m\u00e9thodes d’optimisation des moteurs de recherche (black SEO), ainsi que l’empoisonnement des moteurs de recherche.<\/p>\n\n\n\n En outre, les chercheurs en s\u00e9curit\u00e9 pensent que les hackers font la promotion des applications sur les canaux de m\u00e9dias sociaux, la publicit\u00e9 trompeuse et les forums. Cependant, le principal canal de distribution observ\u00e9 par Confiant est celui des services de recherche.<\/p>\n\n\n\n Selon les chercheurs, les r\u00e9sultats de recherche du moteur Baidu sont les plus touch\u00e9s par les activit\u00e9s de SeaFlower, dirigeant des quantit\u00e9s massives de trafic vers le site malveillant.<\/p>\n\n\n\n Le logiciel malveillant abuse \u00e9galement des appareils iOS. Il utilise des profils provisoires pour charger les applications malveillantes sur l’appareil, contournant ainsi les protections de s\u00e9curit\u00e9. En plus d’\u00eatre puissante, les chercheurs ont d\u00e9couvert que l’application malveillante utilise une technique d’\u00e9vasion puissante qui lui permet de ne pas se faire rep\u00e9rer par les syst\u00e8mes de s\u00e9curit\u00e9.<\/p>\n\n\n\n Les hackers imitent des codes authentiques<\/strong><\/p>\n\n\n\n Les profils provisoires sont g\u00e9n\u00e9ralement utilis\u00e9s pour lier les appareils et les d\u00e9veloppeurs \u00e0 une \u00e9quipe de d\u00e9veloppement autoris\u00e9e. Ils permettent d’utiliser facilement les appareils pour tester le code des applications, ce qui en fait un outil tr\u00e8s puissant pour ajouter des applications malveillantes \u00e0 un appareil.<\/p>\n\n\n\n Les chercheurs en s\u00e9curit\u00e9 ont utilis\u00e9 la technique d’ing\u00e9nierie inverse sur l’application pour d\u00e9couvrir comment les auteurs de SeaFlower avaient implant\u00e9 des portes d\u00e9rob\u00e9es. Selon les analystes de Confiant, toutes ces portes d\u00e9rob\u00e9es avaient des codes similaires.<\/p>\n\n\n\n La porte d\u00e9rob\u00e9e de l’application MetaMask sur iOS est activ\u00e9e lorsque la phrase de d\u00e9marrage est g\u00e9n\u00e9r\u00e9e. Elle s’active avant qu’elle ne soit stock\u00e9e sous une forme crypt\u00e9e. Cela implique que les hackers peuvent intercepter la phrase de passe lorsqu’ils cr\u00e9ent un nouveau portefeuille ou lorsqu’ils veulent ajouter un portefeuille existant \u00e0 une application r\u00e9cemment install\u00e9e.<\/p>\n\n\n\n Les hackers utilisent les requ\u00eates POST pour voler les phrases de passe<\/strong><\/p>\n\n\n\n L’un des principaux r\u00f4les du code de backdoor \u00ab\u00a0startupload\u00a0\u00bb est de voler la phrase de d\u00e9marrage et de l’envoyer \u00e0 des domaines qui copient ceux d’origine. Par exemple, les hackers ont utilis\u00e9 la requ\u00eate POST pour voler les phrases de passe vers ‘trx.lnfura[.]org’. Ceci est utilis\u00e9 pour usurper l’identit\u00e9 de l’authentique \u00ab\u00a0infura.io\u00a0\u00bb. Ils ont \u00e9galement utilis\u00e9 ‘metanask[.]cc’ qui agit exactement comme le domaine original de MetaMask.<\/p>\n\n\n\n De plus, la classe qui cache les fonctions est r\u00e9cup\u00e9r\u00e9e via l’algorithme d’encodage base64. Elle est chiffr\u00e9e \u00e0 l’aide de l’\u00e9cosyst\u00e8me RSA. Mais les cl\u00e9s sont g\u00e9n\u00e9ralement cod\u00e9es en dur, ce qui signifie que l’analyste pourrait d\u00e9crypter la porte d\u00e9rob\u00e9e, la valider et tester le code \u00e0 l’ex\u00e9cution.<\/p>\n\n\n\n Les utilisateurs ne devraient installer que des applications de porte-monnaie provenant de plateformes fiables<\/strong><\/p>\n\n\n\n Le code de la porte d\u00e9rob\u00e9e n’\u00e9tait pas aussi soigneusement cach\u00e9 que pr\u00e9vu dans les applications malveillantes de la variante Android.<\/p>\n\n\n\n Par cons\u00e9quent, les chercheurs ont pu acc\u00e9der \u00e0 davantage de fonctions sans trop d’efforts. |L’un des aspects les plus importants de la porte d\u00e9rob\u00e9e est l’installation d’un Bundle React Native sur l’instance RCTBridge pour le chargement de JavaScripts. Le directeur des renseignements sur les menaces chez Confiant, Taha Karim, a partag\u00e9 certaines informations sur la fa\u00e7on dont les acteurs de la menace ont utilis\u00e9 le logiciel malveillant.<\/p>\n\n\n\n Il a not\u00e9 que le fait d’installer des bundles natifs est quelque chose que l’on n’a pas vu par le pass\u00e9 dans d’autres activit\u00e9s de piratage. En g\u00e9n\u00e9ral, elle se connecte \u00e0 un m\u00e9tavers li\u00e9 \u00e0 l’application native React. Les acteurs de la menace ont pass\u00e9 des ann\u00e9es \u00e0 faire de l’ing\u00e9nierie inverse de l’application React Native pour comprendre o\u00f9 et comment les bundles sont charg\u00e9s.<\/p>\n\n\n\n Ils ont inclus des logos pour forcer le backdoor bundle qui peut \u00eatre charg\u00e9 au moment de l’ex\u00e9cution tout en l’ex\u00e9cutant par Javascriptcore. Le bundle \u00e9tait crypt\u00e9 et cach\u00e9 dans un fichier dylib, qui est \u00e9galement inject\u00e9 au moment de l’ex\u00e9cution. Les chercheurs ont demand\u00e9 aux d\u00e9tenteurs de crypto-monnaies et de portefeuilles de crypto-monnaies de t\u00e9l\u00e9charger les applications de portefeuilles uniquement \u00e0 partir de sites et de plateformes de confiance afin de prot\u00e9ger leurs appareils de ces attaques.<\/p>\n","protected":false},"excerpt":{"rendered":"