Passer au contenu

280 apps Android sont infectées par SpyAgent, un malware voleur de cryptos

Un nouveau virus du nom de SpyAgent, conçu pour dérober vos cryptomonnaies, se propage sur Android. Pour arriver à ses fins, le malware s’appuie sur une mauvaise habitude des détenteurs d’actifs numériques.

McAfee met en garde les utilisateurs Android qui détiennent des cryptomonnaies. D’après les chercheurs en sécurité, « un nouveau type de logiciel malveillant mobile », taillé pour siphonner les actifs numériques des investisseurs, est en train de se propager sur la toile. Le virus s’intitule SpyAgent, soit « agent espion » en français.

À lire aussi : Un malware appelé « Voldemort » s’attaque à la France

Comment le virus vole les clés privées ?

Comme l’explique McAfee dans son rapport, le logiciel malveillant est programmé pour s’emparer des clés privées des personnes qui possèdent des cryptomonnaies. Avec ces clés, composées de 12 à 24 mots, les cybercriminels peuvent sans problème voler les devises numériques stockées sur la blockchain. Les clés permettent en effet d’accéder à un portefeuille crypto sur le réseau. Dès lors, l’attaquant n’a plus qu’à transférer les fonds sur son propre wallet.

En fait, SpyAgent va s’appuyer sur une négligence très répandue chez les détenteurs de cryptomonnaies. Pour éviter d’oublier leurs clés, de nombreuses personnes vont prendre une capture d’écran de la suite de mots et la stocker dans la galerie de leur téléphone. C’est évidemment une terrible erreur en matière de sécurité.

Conscients des lacunes de leurs cibles, les pirates ont programmé le malware pour aller fouiller dans les images enregistrées sur le smartphone à la recherche d’une capture d’écran des clés. Pour procéder à la fouille, le virus s’appuie sur la reconnaissance optique de caractères (OCR, pour « Optical Character Recognition » en anglais). Cette technologie permet de convertir des images en texte numérique exploitable par un logiciel. L’outil scanne une image contenant du texte (comme une page numérisée d’un livre, un formulaire ou une facture) et reconnaît les caractères pour les transformer en texte éditable.

Ce procédé, initialement conçu pour documents imprimés ou manuscrits, est souvent détourné par les cybercriminels. L’OCR a notamment été utilisée par le malware CherryBlos, qui s’est fait remarquer sur Android au cours de l’été 2023. En miroir de SpyAgent, CherryBlos cherchait à dérober les cryptomonnaies des usagers Android.

Du reste, SpyAgent ne se contente pas de fouiller dans les images enregistrées. Le logiciel va aussi exfiltrer la liste de contacts de la victime, tous les SMS reçus (surtout ceux des codes d’authentification à usage unique) et des informations générales sur l’appareil, comme la version du système d’exploitation et le numéro de téléphone. Le virus est aussi en mesure d’envoyer des SMS à votre place. Les pirates peuvent donc envoyer des messages de phishing à vos contacts. Pour cacher ses véritables activités à la victime, SpyAgent va afficher « des écrans de chargement sans fin, des redirections inattendues ou de brefs écrans vierges ».

Près de 300 applications Android cachent SpyAgent

Pour pénétrer sur le smartphone des victimes, SpyAgent s’est caché dans le code de 280 applications Android proposées sur des boutiques alternatives depuis janvier 2024. Bonne nouvelle, le malware n’est pas parvenu à entrer sur le Play Store. Il est uniquement caché dans des fichiers APK partagés sur Internet. On trouve différents types d’apps, comme des plateformes bancaires et gouvernementales, des utilitaires ou des applications de streaming.

Lors de l’installation, les applications frauduleuses vont demander un accès à une foule de fonctionnalités du smartphone, comme les messages, les contacts et les fichiers stockés. Ces demandes doivent déjà éveiller vos soupçons.

Pour le moment, SpyAgent cible surtout les utilisateurs qui vivent en Corée du Sud, mais le malware semble se propager sur le continent européen, à commencer par le Royaume-Uni, indique McAfee. Par ailleurs, des indices laissent penser qu’une version iOS du virus est actuellement en cours de conception. C’est pourquoi on recommandera aux utilisateurs d’iPhone de rester sur leurs gardes et de prendre de bonnes habitudes. Que ce soit sur Android ou sur iOS, ne conservez pas de capture d’écran de vos clés privées sur votre smartphone. Cette négligence peut vous couter cher.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : McAfee


Florian Bayard