Passer au contenu

WhatsApp, Telegram : comment des copies pirates peuvent voler vos cryptos

Des versions pirates de WhatsApp et Telegram circulent sur la toile. Ces déclinaisons factices cachent de dangereux virus destinés à s’emparer de vos cryptomonnaies à votre insu…

Les chercheurs d’ESET, la société derrière l’antivirus du même nom, ont découvert « des dizaines de faux sites Web Telegram et WhatsApp » sur la Toile. Ces sites factices proposent aux internautes de télécharger une version Android ou Windows de la messagerie instantanée sur leurs appareils.

À lire aussi : Un pirate vend les numéros de téléphone de 20 millions d’utilisateurs WhatsApp

Des chaînes YouTube et des pubs Google frauduleuses

Les sites s’adressent surtout aux utilisateurs parlant le chinois, Telegram et WhatsApp étant bloqués en Chine depuis plusieurs années. Les cibles privilégiées des pirates sont vraisemblablement des Chinois qui contournent les restrictions mises en place par Pékin.

Les sites Web sont mis en avant par le biais de « Google Ads conduisant à des chaînes YouTube frauduleuses », note Eset. Dans leurs vidéos, ces chaînes recommandent aux internautes, désireux d’installer l’une des messageries, de se rendre sur le site factice. Cette stratégie permet de contourner les sécurités de Google. En relayant d’abord vers YouTube, les hackers évitent que leurs publicités soient estampillées comme des arnaques tout en restant bien placées dans les résultats de recherche.

Un mode opératoire astucieux

Sans surprise, ces itérations non officielles sont truffées de chevaux de Troie. Au cours de son enquête, ESET a essentiellement remarqué des « clippers » dans le code des applications factices. Cette catégorie de logiciels malveillants est capable de prendre le contrôle du presse-papier d’un smartphone ou d’un ordinateur. Le maliciel est capable de s’emparer du contenu du presse-papier, comme des mots de passe ou des coordonnées bancaires, et de modifier les informations copiées par l’usager.

En l’occurrence, les « clippers » sont utilisés pour voler des cryptomonnaies. Le mode opératoire des cybercriminels consiste à « intercepter les communications de messagerie de la victime et à remplacer toutes les adresses de portefeuilles de cryptomonnaies envoyées et reçues par des adresses appartenant aux attaquants », explique Lukas Stefanko, chercheur chez ESET.

Lorsque l’utilisateur cherche à partager son adresse blockchain avec autrui, il transmet plutôt celle des pirates. De même, l’investisseur qui cherche à verser ses fonds sur un autre wallet enverra son argent aux hackers sans le savoir… Une fois installé sur le téléphone, le malware surveille en continu certains mots clés liés aux cryptomonnaies en attendant le moment d’agir. En parallèle, les virus peuvent exfiltrer des données sensibles, récupérées par le biais de Telegram ou WhatsApp, sur des serveurs à distance.

Gare aux captures d’écran

Certains des virus identifiés par ESET intègrent un système de reconnaissance optique de caractères. Celui-ci est capable de « lire » le texte qui se trouve dans des images, dont les captures d’écran stockées sur un smartphone ou un ordinateur. Les investisseurs ayant fait une capture de leur phrase de sécurité (la liste de mots qui sécurise un portefeuille crypto) se retrouvent ainsi à la merci des pirates.

Avec cette phrase, les escrocs peuvent en effet siphonner votre portefeuille. On vous conseille de ne jamais sauvegarder votre phrase de cette manière. Optez plutôt pour un simple pense-bête, à l’abri dans un endroit secret de votre domicile, complètement inaccessible aux virus.

« Ne stockez pas sur votre appareil des images ou des captures d’écran non chiffrées contenant des informations sensibles », abonde Lukas Stefanko.

ESET a par ailleurs remarqué la présence de plusieurs chevaux de Troie d’accès à distance (RAT) visant les PC Windows dans le code des versions vérolées de WhatsApp et Telegram. Comme leur nom l’indique, ces virus sont programmés pour prendre le contrôle total de l’ordinateur. Les pirates peuvent alors facilement se servir dans les données de leurs victimes.

Comme toujours, les chercheurs recommandent de ne jamais installer d’applications en dehors des sources officielles, que ce soit sur Android ou Windows. Tournez-vous plutôt vers le Play Store ou le Microsoft Store, qui propose d’ailleurs le client WhatsApp pour PC.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : We Live Security


Florian Bayard