Malwares: Vos applications ne sont plus sécurisées

ESET a découvert pour la première fois des malwares intégrés à des applications de messagerie instantanée.

 ·      ESET Research a découvert pour la première fois des malwares dits « clippers » intégrés à des  applications de messagerie instantanée.

·      Leurs auteurs s’attaquent aux cryptomonnaie des victimes à l’aide des applications Telegram et WhatsApp Android et Windows infectées par des chevaux de Troie.

·      Le malware est capable de remplacer les adresses des portefeuilles de cryptomonnaies que les victimes envoient dans les messages de chat par des adresses appartenant à l’attaquant.

·      Certains des clippers utilisent même la reconnaissance de caractères pour extraire du texte de captures d’écran et voler les phrases de récupération des portefeuilles de cryptomonnaies.

·      Outre les clippers, ESET a également découvert des chevaux de Troie d’accès à distance intégrés à des versions malveillantes de WhatsApp et Telegram sur Windows.

ESET est le partenaire officielle de Tunisian CLOUD

Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert des dizaines de faux sites web Telegram et WhatsApp, ciblant principalement des utilisateurs d’Android et de Windows via des versions de ces applications de messagerie instantanée infectées par des chevaux de Troie. La plupart des applications malveillantes que nous avons identifiées sont appelées des « clippers », un type de malware qui vole ou modifie le contenu du presse-papiers. Toutes s’intéressent aux fonds en cryptomonnaies des victimes, et plusieurs d’entre elles visent des portefeuilles de cryptomonnaies. C’était la première fois qu’ESET Research rencontrait des clippers sur Android se concentrer spécifiquement sur la messagerie instantanée. Certains de ces malwares utilisent même la reconnaissance optique de caractères (OCR) pour reconnaître du texte dans les captures d’écran stockées sur les appareils compromis, ce qui est une autre première pour les malwares Android.

Au vu de la langue utilisée dans les applications détournées, il semble que les opérateurs ciblent principalement des utilisateurs sinophones. Telegram et WhatsApp sont bloqués en Chine depuis plusieurs années ; depuis 2015 pour Telegram et depuis 2017 pour WhatsApp. Les personnes qui souhaitent utiliser ces services doivent recourir à des moyens indirects pour les obtenir.

Les auteurs de la menace ont d’abord mis en place des publicités Google menant à des chaînes YouTube frauduleuses, qui redirigeaient ensuite les internautes vers des sites web imitant ceux de Telegram et de WhatsApp. ESET Research a immédiatement signalé les publicités frauduleuses et les chaînes YouTube correspondantes à Google, qui les a rapidement fermées.
« L’objectif principal des clippers que nous avons découverts est d’intercepter les communications de messagerie de la victime et de remplacer toutes les adresses de portefeuilles de cryptomonnaies envoyées et reçues par des adresses appartenant aux attaquants. En plus des versions Android des applications WhatsApp et Telegram, nous avons également trouvé des versions Windows, » explique Lukáš Štefanko, le chercheur d’ESET qui a découvert les applications malveillantes.

Pour lire la suite de cet article , téléchargez le livre blanc