Le 8 janvier 2019, la première instance de malware Clipper a été détectée sur le Google Play Store. Déguisée en application innocente, elle incitait les utilisateurs à la télécharger pour ensuite rediriger leurs fonds en cryptomonnaies vers les cybercriminels.
Mais qu'est-ce qu'un malware Clipper ? Comment fonctionne-t-il et comment s'en protéger ?
Le malware Clipper cible les adresses de portefeuilles de cryptomonnaies lors des transactions. Une adresse de portefeuille est l'équivalent crypto d'un numéro de compte bancaire : vous la partagez pour recevoir un paiement.
Pour en savoir plus sur les cryptomonnaies, consultez notre guide pratique.
Le Clipper intercepte la transaction en remplaçant l'adresse légitime par celle du pirate. L'utilisateur pensant payer son destinataire, enrichit en réalité l'attaquant. Les pertes peuvent être considérables pour les transactions importantes.
Le Clipper surveille le presse-papiers de l'appareil infecté. À chaque copie de données, il vérifie si c'est une adresse de portefeuille crypto. Si oui, il la substitue par la sienne.
Lors du collage, l'adresse frauduleuse est utilisée à la place de l'originale.
Les adresses de portefeuilles sont de longues chaînes alphanumériques complexes et aléatoires. Sans réutilisation fréquente, l'utilisateur ne détecte pas le changement. De plus, leur longueur incite à copier-coller, favorisant l'attaque.
Apparu vers 2017 sur Windows, le Clipper s'est étendu à Android, vendu sur le dark web. Des apps infectées circulaient sur des sites douteux, comme ceux à l'origine de Gooligan en 2016 (1 million d'appareils touchés).
Cette détection sur Google Play marque une première : l'officialité du store renforce la confiance des utilisateurs, facilitant la propagation.
L'app incriminée se faisait passer pour MetaMask, un vrai service Ethereum pour navigateurs sans app Android officielle. Les pirates ont exploité ce vide.
Au-delà du remplacement d'adresses, elle collectait les identifiants Ethereum via une fausse configuration, permettant un vol direct des comptes.
Découvert rapidement par des experts en sécurité, l'app (téléchargée le 1er février 2019) a été supprimée une semaine plus tard, limitant les dégâts.
Avec la popularité des cryptos, les cybercriminels s'y intéressent. Les cryptojackers, qui minent à l'insu des victimes, pullulent, y compris sur Google Play.
Les malwares crypto sur Android ne font que commencer.
La vigilance est clé. Vous êtes déjà armé en comprenant son mode opératoire !
Téléchargez exclusivement sur Google Play, plus sûr que les stores tiers. Vérifiez téléchargements, ancienneté et nom du développeur pour les apps imitant des services populaires.
Même infecté, vérifiez les adresses collées vs copiées. Différence détectée ? Scannez avec un antivirus et désinstallez les apps récentes suspectes.
Les Clippers exploitent la complexité des adresses et les habitudes de copie-coller, causant des pertes invisibles.
Prévention simple : évitez les apps suspectes, revérifiez les adresses avant transaction.
Améliorez la sécurité de votre smartphone contre les malwares mobiles.
