Les faux portefeuilles de crypto monnaie prolifèrent sur Google Play à chaque hausse du cours du bitcoin. Et ce mois-ci, le bitcoin a justement connu une forte croissance, son prix ayant atteint son plus haut niveau depuis septembre 2018.

Comme l’on pouvait donc s’y attendre, les cybercriminels ont rapidement identifié cette tendance et ont redoublé d’efforts pour cibler les utilisateurs de la monnaie virtuelle avec diverses escroqueries, et notamment en s’appuyant sur des applications mobiles malveillantes.

L’une de leurs escroqueries préférées consiste à imiter les porte-monnaie les plus populaires du moment afin de tromper leurs utilisateurs. Cette fois, c’est le wallet matériel bien connu Trezor qui est ciblé. Et bien qu’il soit évidemment impossible d’imiter un portefeuille matériel avec une simple application, dans cette attaque une première application illégitime usurpant le nom de Trezor était liée à un second faux gestionnaire de portefeuille virtuel nommé “Coin Wallet – Bitcoin, Ripple, Ethereum, Tether”. C’est ce dernier qui avait pour objectif d’escroquer les utilisateurs sans méfiance et leur dérober leurs jetons de monnaie virtuelle.

« Nous n’avions encore jamais vu de logiciels malveillants détourner la marque Trezor, et nous étions curieux de voir comment les attaquants avaient imité ces outils particuliers. Car Trezor propose des portefeuilles matériels. Pour accéder à la crypto monnaie qu’ils contiennent, ils nécessitent une manipulation physique, en plus d’une authentification par code PIN ou la connaissance d’une clé de récupération secrète », explique Lukáš Štefanko, le chercheur ESET qui a dirigé la recherche.

En analysant cette fausse application, les chercheurs ESET ont constaté qu’elle ne menaçait pas réellement les utilisateurs de Trezor, étant donné les multiples couches de sécurité mises en place par l’éditeur.

Lire aussi  LG équipe d’un bouton Google sa gamme populaire de produits audio sans fil

Mais l’arnaque est ailleurs : cette fausse application, qui se contente de détourner la marque de confiance Trezor pour attirer ses victimes, est liée à une seconde fausse application baptisée « Coin Wallet ». Et c’est elle qui est capable d’escroquer les utilisateurs peu méfiants. « Ces deux applications ont été créées sur la base d’un même modèle d’application vendu en ligne », ajoute Lukáš Štefanko.

L’application se faisant passer pour le portefeuille mobile Trezor a été ajoutée sur Google Play le 1er mai 2019 sous le nom de développeur “Trezor Inc”. Sa page de téléchargement sur le store officiel semblait à première vue digne de confiance. D’ailleurs, au moment de notre analyse, l’application fictive est même apparue comme le deuxième résultat le plus populaire lors de la recherche de “Trezor” sur Google Play, juste derrière l’application officielle de Trezor.

Mais derrière ces apparences, cette fausse application est utilisée pour dérober les identifiants de connexion des utilisateurs à leurs différents wallets.
Le serveur utilisé pour récupérer ces identifiants depuis la fausse application Trezor est hébergé sur le domaine coinwalletinc.com. En étudiant ce domaine, nous avons découvert qu’il est utilisé par une autre application frauduleuse nommée “Coin Wallet” (également sur Google Play). Les deux fausses applications partagent d’ailleurs du code et une partie de leur interface. Le site Web contient un lien vers Google Play, où l’application était disponible à partir de février 2019.

« Cette seconde fausse application prétend qu’elle permet à ses utilisateurs de créer des portefeuilles pour diverses crypto monnaies. Cependant, son but réel est d’amener les utilisateurs à transférer leurs jetons vers les portefeuilles des attaquants. C’est une méthode classique d’escroquerie d’adresse de portefeuille, que nous rencontrons souvent lors de nos recherches sur les logiciels malveillants ciblant les monnaies virtuelles », déclare Lukáš Štefanko.

Lire aussi  Le leader de l’hébergement Eo Datacenter obtient la certification PCI-DSS

Le chercheur offre quelques conseils pour conserver ses monnaies virtuelles en toute sécurité :

  • Ne téléchargez des applications de monnaie virtuelle et autres applications financières qu’à partir du lien mentionné sur le site web officiel de leur éditeur (n’utilisez pas le moteur de recherche des stores d’applications mobiles, par exemple)
  • N’entrez vos informations sensibles dans les formulaires en ligne que si vous êtes certain de leur sécurité et de leur légitimité.
  • Tenez votre appareil à jour.
  • Utilisez une solution de sécurité mobile réputée pour bloquer et supprimer les menaces.

Nous avons signalé la fausse application Trezor aux équipes de sécurité de Google et nous avons contacté Trezor au sujet de la publication de ce billet de blog.

Trezor a confirmé que la fausse application ne représentait pas une menace directe pour ses utilisateurs. Toutefois, l’éditeur craint que les adresses électroniques recueillies par le biais de fausses applications comme celle-ci ne soient utilisées à mauvais escient dans le cadre de campagnes d’hameçonnage.

Au moment d’écrire ces lignes, ni la fausse application Trezor ni l’application Coin Wallet ne sont disponibles sur Google Play.