Le 8 janvier 2019, nous avons vu la première instance de "clipper malware" sur le Google Play Store. Elle s'est déguisée en application innocente pour inciter les gens à la télécharger, puis a commencé à rediriger les fonds de crypto-monnaie vers l'auteur du logiciel malveillant.
Mais qu'est-ce qu'un logiciel malveillant clipper, comment fonctionne-t-il et comment pouvez-vous éviter une attaque ?
Le malware Clipper cible les adresses de portefeuille de crypto-monnaie lors d'une transaction. Une adresse de portefeuille est comme la version crypto-monnaie d'un numéro de compte bancaire. Si vous souhaitez que quelqu'un vous paie en crypto-monnaie, vous lui donnez votre adresse de portefeuille et le bénéficiaire la saisit dans ses informations de paiement.
Vous pouvez en savoir plus sur le fonctionnement de la crypto-monnaie dans notre guide pratique.
Le logiciel malveillant Clipper détourne une transaction de crypto-monnaie en échangeant une adresse de portefeuille avec celle appartenant à l'auteur du logiciel malveillant. Lorsque l'utilisateur va effectuer un paiement à partir de son compte de crypto-monnaie, il finit par payer l'auteur du logiciel malveillant au lieu de son destinataire.
Cela peut entraîner de graves dommages financiers si le logiciel malveillant parvient à détourner une transaction de grande valeur.
Le logiciel malveillant Clipper effectue cet échange en surveillant le presse-papiers de l'appareil infecté, où les données copiées sont stockées. Chaque fois que l'utilisateur copie des données, le clipper les vérifie pour voir s'il contient des adresses de portefeuille de crypto-monnaie. Si c'est le cas, le logiciel malveillant l'échange avec l'adresse de l'auteur du logiciel malveillant.
Désormais, lorsque l'utilisateur va coller l'adresse, il finira par coller l'adresse piratée au lieu de l'adresse légitime.
Le malware Clipper exploite la nature compliquée des adresses de portefeuille. Ce sont de longues chaînes de chiffres et de lettres qui sont apparemment choisis au hasard. À moins qu'un utilisateur n'ait utilisé une adresse de portefeuille plusieurs fois, il y a très peu de chances qu'il remarque qu'elle a été échangée.
Pire encore, sa complexité signifie que les gens sont beaucoup plus susceptibles de copier et coller l'adresse --- exactement ce que veut le malware clipper !
Le malware Clipper, en soi, n'a rien de nouveau. Il est entré en scène vers 2017 et s'est principalement concentré sur les machines Windows. Depuis lors, des logiciels malveillants Clipper pour Android ont été développés et vendus sur le marché noir, et des applications infectées ont pu être trouvées sur des sites louches.
Ces sites ont servi de base au malware Gooligan de 2016, qui a infecté 1 million d'appareils.
Il s'agit de la première instance d'une application sur la boutique officielle Google Play infectée par un logiciel malveillant Clipper. Le téléchargement réussi d'une application infectée sur la boutique officielle est le scénario de rêve de tout distributeur de logiciels malveillants. Une application sur le Google Play Store a un certain air d'authenticité, ce qui la rend plus fiable que les applications trouvées sur un site Web au hasard.
Cela signifie que les gens téléchargent et installent généralement des applications à partir du magasin sans aucun doute, ce qui est exactement ce que veulent les auteurs de logiciels malveillants.
Le malware clipper résidait dans une application appelée MetaMask. C'est un véritable service qui permet des applications distribuées basées sur un navigateur pour la crypto-monnaie Ethereum. MetaMask n'a pas encore d'application Android officielle, donc les auteurs de logiciels malveillants en ont profité pour faire croire aux gens que c'était le cas.
Cette fausse application MetaMask a fait plus que permuter les adresses de crypto-monnaie dans le presse-papiers. Il a également demandé les détails Ethereum de l'utilisateur dans le cadre d'une configuration de faux compte. Une fois que l'utilisateur sans méfiance a saisi les détails, les auteurs du logiciel malveillant disposaient de toutes les informations nécessaires pour se connecter au compte et le vider par eux-mêmes.
Heureusement, une entreprise de sécurité a découvert le logiciel malveillant Clipper avant qu'il ne fasse trop de dégâts. La fausse application MetaMask a été téléchargée le 1er février 2019, et a été signalée et supprimée un peu plus d'une semaine plus tard.
Bien que ce vecteur d'attaque soit nouveau, il n'est pas trop surprenant. Les crypto-monnaies sont de très grosses affaires de nos jours, et avec elles vient le potentiel de gagner beaucoup d'argent. Alors que la plupart des gens se contentent de gagner de l'argent par des moyens légaux, il y en aura toujours qui chercheront à exploiter les autres à la place.
Les cryptojackers sont les favoris des auteurs de logiciels malveillants du monde entier. Ceux-ci détournent le processeur d'un appareil pour lui faire exploiter la crypto-monnaie pour l'auteur, de préférence sans que l'utilisateur final ne s'en aperçoive.
Tout comme cet exemple de logiciel malveillant clipper, les entreprises de sécurité ont trouvé des cryptojackers infectant des applications sur le Google Play Store. En tant que tel, ce n'est peut-être que le début des logiciels malveillants basés sur la crypto-monnaie qui attaquent les utilisateurs sur les téléphones Android.
Cela peut sembler très effrayant, mais éviter une attaque de malware clipper est assez simple. Le malware Clipper dépend du fait que l'utilisateur ignore son existence et ignore les signes avant-coureurs. En savoir plus sur le fonctionnement des logiciels malveillants Clipper est un grand pas en avant pour le vaincre. En lisant cet article, vous avez déjà fait 90 % du travail !
Tout d'abord, assurez-vous de toujours télécharger des applications depuis le Google Play Store. Bien que Google Play ne soit pas parfait, il est beaucoup plus sûr que les sites louches sur Internet. Essayez d'éviter les sites qui agissent comme un "magasin tiers" pour Android, car ils sont beaucoup plus susceptibles de contenir des logiciels malveillants que Google Play.
Lorsque vous téléchargez des applications sur Google Play, vérifiez le nombre total de téléchargements de l'application avant de l'installer. Si une application n'existe pas depuis longtemps et que le nombre de téléchargements est faible, son téléchargement peut être risqué. De même, si l'application prétend qu'il s'agit de la version mobile d'un service populaire, vérifiez le nom du développeur.
Si le nom diffère (même légèrement) du nom du développeur officiel, c'est un grand signe d'avertissement que quelque chose ne va pas.
Même si votre téléphone est infecté par un malware clipper, vous pouvez éviter une attaque en faisant attention. Vérifiez à nouveau toutes les adresses de portefeuille que vous collez pour vous assurer qu'elles n'ont pas changé en cours de route. Si l'adresse que vous collez est différente de celle que vous avez copiée, un logiciel malveillant Clipper se cache sur votre système.
Effectuez une analyse antivirus complète et supprimez toutes les applications douteuses que vous avez installées récemment.
Les logiciels malveillants Clipper peuvent être dévastateurs pour quiconque manipule de grandes quantités de crypto-monnaie. La nature compliquée des adresses de portefeuille, combinée à la tendance d'un utilisateur typique à copier et coller, donne aux logiciels malveillants Clipper une fenêtre d'opportunité pour frapper.
Beaucoup de gens ne réalisent même pas ce qu'ils font jusqu'à ce qu'il soit trop tard !
Heureusement, vaincre les logiciels malveillants Clipper est simple. Ne téléchargez jamais d'applications suspectes et revérifiez tous les liens de portefeuille avant de confirmer une transaction.
Préoccupé par les logiciels malveillants sur votre appareil mobile ? Voici comment améliorer la sécurité de votre smartphone et combattre les malwares mobiles.