À sa création en 2009, pas grand monde n’aurait parié sur le succès du Bitcoin. Cette monnaie virtuelle basée sur la célèbre blockchain était une curiosité pour beaucoup, presque un jeu avec le minage qui était réservé à des geeks intéressés par cet obscur principe. Un échange décentralisé de valeur monétaire ? Oui, si vous le dites, pourquoi pas. D’autres cryptomonnaies, comme l’Ethereum, ont été alors créés puis la foi des acheteurs en ce système en a fait exploser les cours. Résultat 13 ans après ? Tout le monde se les arrache et rêve de faire fortune grâce à elle. Conséquence direct : les pirates préparent la flibuste.
De fausses appli qui imitent les vraies
Quand dorment les pirates ? Probablement quand leur matelas est enfin rembourré de bons billets tout frais volés à droite à gauche. C’est parfois directement dans vos comptes en banques, d’autres en vous abonnant à des services payants ni vu, ni connu. Aujourd’hui, en suivant la mode, les cybercriminels s’attaquent tout simplement à vos cryptomonnaies. C’est en effet ce qu’on découvert les chercheurs en sécurité informatique de l’ESET qui pointent du doigt l’existence d’applications malveillantes. Ces dernières prennent l’apparence de certaines déjà existantes en en mimiquant l’interface. Vous pensez donc mettre votre argent en sécurité dans un portefeuille numérique comme celui de Coinbase, Trust Wallet ou OneKey, mais il n’en est rien. Des sites ayant l’air légaux ont été ouverts et vous redirigent vers des liens pour télécharger les apps vérolées tournant aussi bien sous Android qu’iOS.
Ceux qui vivent là, ont volé la clé
Là où les pirates ont fait très fort, c’est qu’ils ont, comme l’expliquent les experts d’ESET, développé les fausses applications en utilisant le code des vraies. Ainsi, elles ont vraiment l’air plus vrai que nature et ressemblent comme deux gouttes d’eaux à leurs modèles. On comprend alors comment il peut être facile de se laisser berner. Là où elles différent, c’est qu’elles contiennent bien sûr un Cheval de Troie.
Il s’agit d’un vecteur d’attaque sophistiqué puisque l’auteur du malware a effectué une analyse approfondie des applications légitimes
Une fois installées, le logiciel peut récupérer la clé privée de votre wallet numérique. Composée d’une phrase de récupération de 12 ou 24 mots, c’est elle qui peut permettre de déverrouiller les actifs et d’en débloquer le transfert. Une fois entre les mains des criminels, ils n’ont plus qu’à se servir. Ce ne sont pas moins de 13 applications malveillantes se faisant passer pour Jaxx Liberty qui ont été également repérées sur le Play Store. Pour bien propager leur arnaque, les scélérats ont été très présents sur de nombreux groupes Facebook et Telegram consacrés aux cryptomonnaies. Ils y faisaient la publicité pour les portefeuilles numériques en partageant les liens qui dirigeaient vers les fausses applications.
AnnonceThese fake crypto wallets want to steal from iPhone and Android users
Researchers at @ESET detail a malware campaign going after cryptocurrency.https://t.co/N74qK5CVJA via @ZDNet
— Danny Palmer (@dannyjpalmer) March 25, 2022
Quelques petits conseils…
Nous vous invitons donc à la plus grande prudence quand vous téléchargez ce genre d’applications. En premier lieu, n’utilisez que le site officiel de votre plate-forme pour télécharger l’appli mobile correspondante. Un client Coinbase sera bien avisé de chercher le lien de l’app…Chez Coinbase. C’est logique, mais bon. Si vous voulez absolument passer par le Play Store, n’hésitez pas à vous informer en regardant les notes données par les utilisateurs et en lisant les commentaires pour être bien sûr qu’il s’agit du wallet officiel ou celui que vous cherchez. Ne faites pas confiance à une personne qui vous conseillerai telle ou telle appli en vous envoyant un lien vers un fichier APK et surtout ne renseignez pas votre phrase de récupération dans une appli qui n’est pas 100% sûre. Vous pouvez également lire notre test du portefeuille logiciel Jaxx Liberty. Pour notre part, nous ne saurions que vous conseiller Metamask qui reste, à ce jour et à nos yeux, la meilleure solution sécurisée gratuite pour garder vos cryptomonnaies bien au chaud tout en donnant la possibilité de payer, se faire payer et même faire des échanges. Pour les plus prudents, le portefeuille matériel Ledger Nano constitue la solution la plus sécurisée, mais il faudra débourser 60 ou 150 € selon le modèle. C’est une somme, mais si vous avez plusieurs milliers d’euro de cryptomonnaies, c’est un bon investissement…
