Mai 2019 a vu la valeur du bitcoin croître, alors que son prix atteint son plus haut niveau depuis septembre 2018. Comme on pouvait s'y attendre, les cybercriminels n'ont pas tardé à s'en rendre compte et ont commencé à redoubler d'efforts pour cibler les utilisateurs de cryptomonnaie avec diverses escroqueries et applications malveillantes.

Une de ces applications a été récemment repéré sur Google Play par les utilisateurs de Reddit, se faisant passer pour le portefeuille matériel cryptomonnaie Trezor et utilisant le nom « Trezor Mobile Wallet ». Nous n'avions jamais vu de logiciels malveillants utiliser la marque de Trezor à mauvais escient et nous étions curieux de connaître les capacités d'une telle fausse application. Après tout, Trezor propose des portefeuilles matériels qui nécessitent une manipulation physique et une authentification par code NIP, ou la connaissance de ce qu'on appelle recovery seed (qu’on pourrait traduire par « graine de récupération »), pour accéder aux cryptomonnaies stockées. Des contraintes similaires s'appliquent à son application officielle, « TREZOR Manager ».

En analysant la fausse application, voici quelques-unes de nos découvertes :

1. il ne peut pas faire de mal aux utilisateurs de Trezor, étant donné les multiples couches de sécurité de Trezor;
2. il est connecté à une fausse application de portefeuille de cryptomonnaie nommée « Coin Wallet - Bitcoin, Ripple, Ethereum, Tether », pouvant escroquer des utilisateurs peu méfiants; et
3. ces deux applications ont été créées à partir d'un modèle d'application vendu en ligne.

Nous avons signalé la fausse application Trezor aux équipes de sécurité de Google et avons contacté Trezor à propos de la publication de ce blog. Trezor a confirmé que la fausse application ne constituait pas une menace directe pour leurs utilisateurs. Toutefois, ils craignaient que les adresses électroniques recueillies par le biais de fausses applications comme celle-ci ne soient utilisées à mauvais escient pour des campagnes d'hameçonnage ciblant les utilisateurs de Trezor.

Au moment d'écrire ces lignes, la fausse application Trezor comme l'application Coin Wallet n’étaient pas disponibles sur Google Play.

La fausse application Trezor

L'application se faisant passer pour un portefeuille mobile pour Trezor a été téléchargée sur Google Play le 1er mai 2019, utilisant comme nom du développeur « Trezor Inc », comme l’indique la figure 1. Dans l'ensemble, la page de l'application sur Google Play semblait digne de confiance - le nom de l'application, le nom du développeur, la catégorie de l'application, la description de l'application et les images semblent tous légitimes à première vue. Lors de notre analyse, la fausse application est même apparue comme le deuxième résultat lors de la recherche de « Trezor » sur Google Play, juste après l'application officielle de Trezor.

Figure 1 - La fausse application sur Google Play

Que fait cette app?

Le déguisement convaincant, cependant, commence et se termine sur Google Play. Après l'installation, l'icône qui apparaît sur l'écran des utilisateurs diffère de celle de Google Play, ce qui peut indiquer à l’utilisateur que quelque chose de louche se trame. L'icône de l'application installée indique le texte « Coin Wallet », comme le montre la Figure 2.

Figure 2 - L'icône de Trezor Mobile Wallet après installation

De plus, lorsque les utilisateurs lancent l'application, un écran de connexion générique s'affiche, sans mention de Trezor, comme le montre la Figure 3. C'est un autre indicateur que nous n'avons pas affaire à une application légitime. Cet écran générique est utilisé pour hameçonner les informations d'identification de connexion, mais on ne sait pas exactement quelles informations d'identification et à quoi elles pourraient servir aux pirates. Quoi qu'il en soit, ce que les utilisateurs saisissent dans le faux formulaire de connexion est envoyé au serveur de l'attaquant, comme le montre la figure 4.

Figure 3 - L'écran de connexion générique affiché par la fausse application

Figure 4 - Les informations d'identification saisies sont envoyées au serveur de l'attaquant

Comme le montre la figure 4, le serveur utilisé pour récupérer les identifiants de la fausse application Trezor est hébergé sur coinwalletinc[.]com. Notre analyse de ce domaine nous a conduit à une autre application frauduleuse, nommée « Coin Wallet » sur son site Web et « Porte-monnaie - Bitcoin, Ripple, Ethereum, Tether » sur Google Play. Cette application est décrite dans la section suivante de ce billet.

L'application Coin Wallet

L'application Coin Wallet et la fausse application Trezor décrite dans la section précédente ont beaucoup en commun - en plus d'utiliser le même serveur, leur code et leur interface ont plusieurs points en commun. L'application Coin Wallet utilise la même icône que celle que nous avons observé après l’installation de la fausse application Trezor.

Sur son site Web, l'application Coin Wallet se décrit comme étant le « Porte-monnaie électronique le plus vendu au monde », comme le montre la figure 5.

Figure 5 - La présentation trompeuse de l'application Coin Wallet sur son site Web

Le site Web contient un lien vers Google Play, où l'application était disponible du 7 février 2019 au 5 mai 2019 sous le nom « Porte-monnaie - Bitcoin, Ripple, Ethereum, Tether », comme on peut le voir à la figure 6. Pendant ce temps, il a été installé par plus d’un millier d’utilisateurs.

Le site Web semble également avoir un lien vers l'App Store d'Apple, mais en cliquant sur le bouton « Disponible sur l'App Store », on arrive simplement à l'URL de l'image PNG.

Figure 6 - L'application frauduleuse Coin Wallet sur Google Play

Que fait cette app?

L'application prétend permettre à ses utilisateurs de créer des portefeuilles pour diverses cryptomonnaies. Cependant, son but réel est d'amener les utilisateurs à transférer ses cryptodevises dans les portefeuilles des attaquants - un cas classique de ce que nous avons appelé escroqueries d'adresse de portefeuille dans nos recherches précédentes sur les logiciels malveillants ciblant les utilisateurs de cryptomonnaie.

Comment cela fonctionne est que l'application prétend générer une adresse de portefeuille unique où les utilisateurs peuvent transférer leurs pièces. En réalité, cette adresse appartient au portefeuille de l'attaquant, puisqu'il ne dispose que de la clé privée nécessaire pour accéder aux fonds. Les attaquants ont un portefeuille pour chaque cryptomonnaie prise en charge - 13 portefeuilles au total - et toutes les victimes utilisant une cryptomonnaie ciblée spécifique reçoivent la même adresse de portefeuille.

Si l'on considère les éléments graphiques communs et l'application frauduleuse Trezor, il semble que les deux ont été créés sur la même base. Une recherche Google pour « coinwallet app template » renvoie un générique « Android cryptocurrency wallet template », disponible pour 40 $ US. Le modèle lui-même est un actif bénin, devenant malveillant entre les mains des attaquants. Cependant, nous voyons ici comment de tels actifs peuvent être utilisés par plusieurs attaquants pour créer rapidement et à moindre coût des applications trompeuses.

Comment rester en sécurité

Si bitcoin poursuit sa tendance de croissance, on peut s'attendre à ce que d'autres applications visant les arnaques aux cryptomonnaies émergent dans la boutique officielle d'applications Android et ailleurs. Lors de l'installation d'applications, il est important de s'en tenir à quelques principes de sécurité de base – à plus forte raison lorsque des sommes d'argent sont en jeu.

• Ne faites confiance aux applications de cryptomonnaie et autres applications financières que si vous pouvez les trouver à partir d’un lien sur le site Web officiel du service;
• N'entrez vos informations sensibles dans les formulaires en ligne que si vous êtes certain de leur sécurité et de leur légitimité;
• Maintenez votre appareil à jour;
• Utilisez une solution de sécurité mobile réputée pour bloquer et supprimer les menaces.

Indicateurs de compromission (IoCs)