280 applications Android (au moins) qui utilisent l'OCR pour voler des informations d'identification de crypto-monnaie
-
La reconnaissance optique de caractères convertit les mots de passe affichés dans les images en texte lisible par machine.
Les chercheurs ont découvert plus de 280 applications malveillantes pour Android qui utilisent la reconnaissance optique de caractères pour voler les informations d’identification du portefeuille de crypto-monnaie des appareils infectés.
Les applications se font passer pour des applications officielles provenant de banques, de services gouvernementaux, de services de streaming TV et de services publics. En fait, ils parcourent les téléphones infectés à la recherche de messages texte, de contacts et de toutes les images stockées et les envoient subrepticement à des serveurs distants contrôlés par les développeurs d’applications. Les applications sont disponibles sur des sites malveillants et sont distribuées dans des messages de phishing envoyés aux cibles. Rien n’indique que l’une des applications était disponible via Google Play.
Un haut niveau de sophistication
La chose la plus remarquable à propos de la campagne de malware récemment découverte est que les auteurs de la menace utilisent un logiciel de reconnaissance optique de caractères pour tenter d’extraire les informations d’identification du portefeuille de crypto-monnaie qui sont affichées dans les images stockées sur les appareils infectés. De nombreux portefeuilles permettent aux utilisateurs de protéger leur portefeuille avec une série de mots aléatoires. Les informations d’identification mnémoniques sont plus faciles à retenir pour la plupart des gens que le fouillis de caractères qui apparaissent dans la clé privée. Les mots sont également plus faciles à reconnaître pour les humains dans les images.
SangRyol Ryu, chercheur de la société de sécurité McAfee, a fait cette découverte après avoir obtenu un accès non autorisé aux serveurs qui recevaient les données volées par les applications malveillantes. Cet accès était le résultat de faibles configurations de sécurité effectuées lors du déploiement des serveurs. Grâce à cela, Ryu a pu lire les pages disponibles pour les administrateurs de serveur.
Une page, affichée dans l’image ci-dessous, présentait un intérêt particulier. Il montrait une liste de mots en haut et une image correspondante, prise à partir d’un téléphone infecté, en dessous. Les mots représentés visuellement dans l’image correspondaient aux mêmes mots.
Une page d’administration de malware affichant les détails de l’OCR“En examinant la page, il est devenu clair que l’objectif principal des attaquants était d’obtenir les phrases de récupération mnémoniques pour les portefeuilles de crypto-monnaie”, a écrit Ryu. “Cela suggère qu’il faut mettre l’accent sur l’accès et éventuellement l’épuisement des actifs cryptographiques des victimes.”
La reconnaissance optique de caractères est le processus de conversion d’images de texte dactylographié, manuscrit ou imprimé en texte codé automatiquement. L’OCR existe depuis des années et est devenue de plus en plus courante pour transformer les caractères capturés dans les images en caractères pouvant être lus et manipulés par un logiciel.
Ryû continua :
Cette menace utilise Python et Javascript côté serveur pour traiter les données volées. Plus précisément, les images sont converties en texte à l’aide de techniques de reconnaissance optique de caractères (OCR), qui sont ensuite organisées et gérées via un panneau d’administration. Ce processus suggère un haut niveau de sophistication dans le traitement et l’utilisation des informations volées.
Code Python pour convertir le texte affiché dans les images en texte lisible par machine.Les personnes qui craignent d’avoir installé l’une des applications malveillantes doivent consulter la publication McAfee pour obtenir une liste des sites Web associés et des hachages cryptographiques.
Le malware a reçu plusieurs mises à jour au fil du temps. Alors qu’il utilisait autrefois HTTP pour communiquer avec les serveurs de contrôle, il se connecte désormais via WebSockets , un mécanisme plus difficile à analyser pour les logiciels de sécurité. Les WebSockets ont l’avantage supplémentaire d’être un canal plus polyvalent.
Une chronologie de l’évolution des applications.Les développeurs ont également mis à jour les applications pour mieux masquer leurs fonctionnalités malveillantes. Les méthodes d’obscurcissement incluent le codage des chaînes à l’intérieur du code afin qu’elles ne soient pas facilement lues par les humains, l’ajout de code non pertinent et le changement de nom des fonctions et des variables, ce qui confond les analystes et rend la détection plus difficile. Bien que le malware soit principalement limité à la Corée du Sud, il a récemment commencé à se propager au Royaume-Uni.
“Cette évolution est significative car elle montre que les acteurs de la menace élargissent leur champ d’action à la fois démographique et géographique”, a écrit Ryu. « L’implantation au Royaume-Uni témoigne d’une tentative délibérée des attaquants d’élargir leurs opérations, visant probablement de nouveaux groupes d’utilisateurs disposant de versions localisées du malware. »
N’installez pas n’importe quoi, ni la première appli venue lors d’une recherche, lisez et comparez.
-
il n’y aurait pas une liste des applications concernées ?
-
@Deadpunk a dit dans 280 applications Android (au moins) qui utilisent l'OCR pour voler des informations d'identification de crypto-monnaie :
il n’y aurait pas une liste des applications concernées ?
Je suis d’accord qu’ils donnent surtout pas la liste des applis concernées
Edit : trouvé ça qui donne quelques pistes
https://bitperfect.pe/fr/nouvelle-vague-de-logiciels-malveillants-ciblant-les-utilisateurs-de-cryptomonnaies/#:~:text=Dans une alerte de cybersécurité,cryptomonnaie d’utilisateurs non avertis. -
@duJambon a dit dans 280 applications Android (au moins) qui utilisent l'OCR pour voler des informations d'identification de crypto-monnaie :
Les personnes qui craignent d’avoir installé l’une des applications malveillantes doivent consulter la publication McAfee pour obtenir une liste des sites Web associés et des hachages cryptographiques.
-
@duJambon a dit dans 280 applications Android (au moins) qui utilisent l'OCR pour voler des informations d'identification de crypto-monnaie :
@duJambon a dit dans 280 applications Android (au moins) qui utilisent l'OCR pour voler des informations d'identification de crypto-monnaie :
Les personnes qui craignent d’avoir installé l’une des applications malveillantes doivent consulter la publication McAfee pour obtenir une liste des sites Web associés et des hachages cryptographiques.
Ya juste une 15ainr de hash et quelques sites, on a toujours pas les applis en question
