Des applications malveillantes sur Android utilisent l’OCR pour voler des cryptomonnaies
Plus de 280 applications malveillantes pour Android ont été découvertes par des chercheurs. Ces applications utilisent la reconnaissance optique de caractères pour voler les identifiants de portefeuille de cryptomonnaie des appareils infectés. Elles se présentent comme des applications officielles provenant de banques, de services gouvernementaux, de services de streaming TV et d’utilitaires. En réalité, elles explorent les téléphones infectés à la recherche de messages texte, de contacts et de toutes les images stockées pour les envoyer discrètement à des serveurs distants contrôlés par les développeurs de l’application. Ces applications sont disponibles sur des sites malveillants et sont distribuées dans des messages de phishing envoyés aux cibles. Aucune indication ne montre que ces applications étaient disponibles sur Google Play.
La sophistication de la menace
La particularité de cette campagne malveillante réside dans l’utilisation de logiciels de reconnaissance optique de caractères pour extraire des identifiants de portefeuille de cryptomonnaie à partir d’images stockées sur des appareils infectés. De nombreux portefeuilles permettent aux utilisateurs de protéger leurs identifiants avec une série de mots aléatoires. Les mnémoniques sont plus faciles à retenir pour la plupart des gens que le fouillis de caractères qui apparaît dans la clé privée. Les mots sont également plus faciles pour les humains à reconnaître dans des images.
Un chercheur de la firme de sécurité McAfee, a fait cette découverte après avoir obtenu un accès non autorisé aux serveurs qui recevaient les données volées par les applications malveillantes. Cet accès était le résultat de configurations de sécurité faibles lors du déploiement des serveurs.
L’utilisation de l’OCR et la sophistication du processus
L’OCR est le processus de conversion d’images de texte tapé, manuscrit ou imprimé en texte encodé par machine. Il existe depuis des années et est de plus en plus courant pour transformer des caractères capturés dans des images en caractères pouvant être lus et manipulés par un logiciel.
Cette menace utilise Python et Javascript côté serveur pour traiter les données volées. Les images sont converties en texte à l’aide de techniques de reconnaissance optique de caractères (OCR), qui sont ensuite organisées et gérées via un panneau administratif. Ce processus montre un haut niveau de sophistication dans la manipulation et l’utilisation des informations volées.
Les développeurs ont également mis à jour les applications pour mieux dissimuler leur fonctionnalité malveillante. Les méthodes d’obscurcissement incluent l’encodage des chaînes à l’intérieur du code pour qu’elles ne soient pas facilement lisibles par les humains, l’ajout de code non pertinent et le changement de noms de fonctions et de variables, ce qui perturbe les analystes et rend la détection plus difficile.
Évolution et propagation de la menace
Le malware a reçu plusieurs mises à jour au fil du temps. Alors qu’il utilisait autrefois HTTP pour communiquer avec les serveurs de contrôle, il se connecte désormais via WebSockets, un mécanisme plus difficile à analyser par les logiciels de sécurité. Les WebSockets ont l’avantage d’être un canal plus versatile.
Alors que le malware est principalement limité à la Corée du Sud, il a récemment commencé à se propager au Royaume-Uni. Cette évolution montre que les acteurs de la menace élargissent leur portée démographique et géographique.
Source : arstechnica.com