Au cours des dernières années, ce n’est un secret pour personne que les pirates ont intensifié leurs efforts pour obtenir un accès non autorisé et voler votre argent durement gagné. Dans le cadre de ces efforts, les pirates ont développé deux nouveaux logiciels malveillants voleurs de crypto-monnaie nommés « CherryBlos » et « FakeTrade », qui utilisent la reconnaissance optique de caractères (OCR) pour scanner les photos des victimes à la recherche d’informations sensibles, telles que les mots de passe.
Découvert pour la première fois par Trend Micro et distribué depuis avril 2023, le malware CherryBlos se propage sur divers réseaux de médias sociaux, trompant les utilisateurs sans méfiance en se déguisant en outils d’intelligence artificielle innocents ou en mineurs de pièces. Une fois installé, le logiciel malveillant demande l’autorisation d’accéder à des fonctionnalités cruciales, puis s’octroie des privilèges supplémentaires, ce qui rend difficile pour un utilisateur d’arrêter ses activités nuisibles.
Alors que le logiciel malveillant utilise principalement des tactiques courantes telles que le chargement de fausses interfaces utilisateur qui imitent étroitement les applications officielles pour hameçonner les identifiants de connexion, il utilise également l’OCR pour extraire des données précieuses à partir d’images et de photos stockées sur l’appareil infecté. En effet, de nombreux portefeuilles de crypto-monnaie ont un mot de passe de récupération au cas où un utilisateur oublie son principal. Cependant, les utilisateurs prennent souvent des captures d’écran du mot de passe de récupération, et l’OCR permet au logiciel malveillant de rechercher ces captures d’écran et de les télécharger sur un serveur distant, ce qui expose les données sensibles de la victime à un risque important.
En plus du logiciel malveillant CherryBlos, les mêmes acteurs de la menace étaient également à l’origine de la vaste campagne FakeTrade, qui impliquait une stupéfiante 31 applications frauduleuses lucratives sur le Play Store, ciblant des utilisateurs en Malaisie, au Vietnam, en Indonésie, aux Philippines, en Ouganda et au Mexique.
Éviter les directives du Play Store
Alors que les acteurs de la menace diffusant des logiciels malveillants via divers canaux ne sont pas nouveaux, le fait que l’un de ces APK malveillants, à savoir Synthnet, ait fait son chemin sur Google Play, se faisant passer pour une application légitime, soulève de sérieuses inquiétudes. Heureusement, Google est rapidement intervenu et a supprimé l’application avant qu’elle ne puisse causer des dommages importants, mais l’application a accumulé plus d’un millier de téléchargements.
En réponse à de telles menaces, Google exigera que tous les nouveaux comptes de développeur s’enregistrant en tant qu’organisations, à partir du 31 août 2023, fournissent un numéro DUNS valide attribué par Dun & Bradstreet avant de soumettre des applications. Cette décision empêchera non seulement l’utilisation abusive de la plate-forme pour la distribution de logiciels malveillants, mais améliorera également la sécurité globale.