Principaux points à retenir

• Une menace mondiale pour les utilisateurs de crypto-monnaie posée par le malware Clipper reste active, alimentée par des applications reconditionnées qui interceptent les messages contenant des adresses de crypto-monnaie et les échangent contre des adresses de criminels.

• La dernière itération de cette attaque s'est propagée via des versions très convaincantes mais fausses d'applications de messagerie populaires, à la fois mobiles et PC.

• L'équipe de sécurité de Binance travaille 24 heures sur 24 pour surveiller la menace, détecter et mettre sur liste noire les adresses des escrocs et sensibiliser le public pour aider les utilisateurs à se défendre contre cette menace.

Nous avons récemment évoqué la menace mondiale actuelle des logiciels malveillants Clipper, qui ciblent principalement les utilisateurs mobiles via des applications contrefaites et reconditionnées, notamment les fausses applications Binance. Non seulement la menace reste active, mais elle évolue au fil du temps, passant récemment à un nouveau mode de propagation : les fausses applications de messagerie telles que Telegram et WhatsApp, à la fois sur les plateformes mobiles et PC.

Dans cet article de suivi, nous souhaitons mieux informer et alerter nos utilisateurs sur les dangers évolutifs des logiciels malveillants Clipper et décrire les mesures prises par l'équipe de sécurité de Binance pour protéger notre communauté.

Récapitulatif : la nature et l'histoire du malware Clipper

Le malware Clipper est un type de bug programmé par des cybercriminels pour intercepter les données du presse-papiers, le plus souvent des adresses de portefeuilles de cryptomonnaies. L'attaque fonctionne en remplaçant l'adresse de portefeuille copiée de la victime par une adresse contrôlée par le pirate. Si l'utilisateur colle sans le savoir cette adresse manipulée lors d'une transaction, il enverra par inadvertance ses fonds vers le portefeuille du pirate.

Le premier incident à grande échelle de cette attaque de malware s'est produit en 2019, lorsqu'une fausse application MetaMask a été téléchargée sur le Google Play Store. L'application visait à voler des clés privées et à remplacer les adresses de cryptomonnaie copiées dans le presse-papiers.

Depuis lors, les logiciels malveillants Clipper ont évolué et se sont frayé un chemin dans d'autres applications, notamment les échanges de crypto-monnaie et les services de messagerie.

Ces derniers mois, l’ampleur de la menace s’est accrue, un nombre croissant d’utilisateurs de plusieurs régions en étant victimes. Malheureusement, la vague d’attaques constitue toujours une menace pour la communauté crypto, d’autant plus que les cybercriminels élargissent leurs vecteurs d’attaque pour inclure non seulement de fausses applications d’échange de crypto-monnaies, mais aussi des applications de messagerie reconditionnées telles que Telegram et WhatsApp, à la fois sur mobile et sur ordinateur.

La menace grandissante : les applications contrefaites et reconditionnées

L'attaque initiale s'est concentrée sur de fausses applications d'échange, notamment l'application Binance, conçues pour voler la cryptomonnaie des utilisateurs. Cependant, nous avons maintenant découvert une nouvelle tendance inquiétante : de fausses applications Telegram et WhatsApp reconditionnées par des attaquants et distribuées via des canaux non officiels. Ces fausses applications imitent les fonctionnalités des applications légitimes tout en effectuant des attaques en arrière-plan.

Les applications malveillantes analysent chaque message à la recherche d’adresses de portefeuille et les remplacent par les adresses du pirate avant d’afficher les informations manipulées à l’utilisateur.

WhatsApp (téléphone portable)

Télégramme (PC)

Télégramme (mobile)

Ce qui est encore plus inquiétant, c’est que cette attaque ne se limite pas aux appareils mobiles. Les versions PC de ces fausses applications sont tout aussi dangereuses, souvent associées à des chevaux de Troie d’accès à distance (RAT), qui donnent aux attaquants un contrôle total sur le système de la victime. Une fois à l’intérieur, ces RAT peuvent voler des informations sensibles, notamment les identifiants du portefeuille, et rediriger les fonds à l’insu de l’utilisateur.

Comment fonctionne le malware Clipper

Les attaques de malware Clipper peuvent se dérouler de plusieurs manières, mais elles s’articulent toutes autour d’un mécanisme de base : la manipulation des données du presse-papiers pour intercepter les transactions de cryptomonnaie. Voici comment cela fonctionne dans différents scénarios :

1. Applications mobiles (Telegram et WhatsApp) :

   • Un utilisateur télécharge une fausse application Telegram ou WhatsApp à partir d’un site Web non officiel.

   • L'application fonctionne normalement, mais elle surveille tous les messages et les analyse à la recherche d'adresses de portefeuille.

   • Lorsqu’une adresse de portefeuille de crypto-monnaie est détectée, le logiciel malveillant la remplace par l’adresse du pirate avant que le message ne soit affiché à l’utilisateur.

   • Alternativement, le logiciel malveillant intercepte au moment où un utilisateur copie une adresse de portefeuille affichée dans ces fausses applications et la modifie lors du collage.

   • L’utilisateur envoie sans le savoir des fonds au pirate au lieu du destinataire prévu.

2. Applications PC :

   • De même, de fausses versions PC de Telegram et WhatsApp sont distribuées, souvent accompagnées de RAT.

   • Une fois installé, le RAT fonctionne silencieusement en arrière-plan, donnant au pirate le contrôle à distance du système de la victime.

   • Le logiciel malveillant peut voler les informations d’identification du portefeuille ou modifier directement les transactions, redirigeant les fonds vers le portefeuille de l’attaquant.

   • Même si la victime supprime la fausse application, le RAT peut persister et continuer à présenter un risque.

Cibles : les utilisateurs vulnérables en Asie et au Moyen-Orient

Une part importante des victimes de programmes malveillants Clipper proviennent de régions où Google Play n'est pas largement disponible, comme la Chine et le Moyen-Orient.

En raison des restrictions imposées par le gouvernement, les utilisateurs de ces régions ont souvent recours à des sites Web tiers pour télécharger des applications. Cela les rend particulièrement vulnérables au téléchargement de fausses applications reconditionnées. Par exemple, de nombreux utilisateurs en Chine recherchent « Telegram下载链接 » (lien de téléchargement de Telegram) ou « Telegram 中文版下载链接 » (lien de téléchargement de la version chinoise de Telegram), ce qui les conduit vers des sites Web frauduleux. Ces faux sites Web peuvent sembler si sophistiqués qu'il serait difficile pour l'utilisateur moyen de les distinguer des sites officiels.

Les pirates informatiques diffusent souvent des applications malveillantes via des sources non officielles comme YouTube ou Baidu, et ces applications fonctionnent presque exactement comme leurs homologues légitimes. Cependant, dans certaines conditions (par exemple lorsque l'utilisateur tente d'envoyer des cryptomonnaies), le logiciel malveillant modifie discrètement l'adresse du portefeuille pour en faire celle de l'attaquant.

Les efforts continus de l’équipe de sécurité de Binance

Chez Binance, la protection de nos utilisateurs est une priorité absolue, et notre équipe de sécurité travaille activement pour contrer ces menaces permanentes. Nous avons pris plusieurs mesures pour détecter et contrer les attaques de logiciels malveillants Clipper :

1. Reverse engineering et mise sur liste noire des adresses suspectes : la Red Team de Binance a procédé à la rétro-ingénierie de bon nombre de ces applications malveillantes, en identifiant les serveurs et les adresses de portefeuille utilisés par les attaquants. Cela nous permet de prendre des mesures contre ces entités malveillantes en procédant à des démantèlements et en bloquant les adresses de portefeuille identifiées.

2. Surveillance améliorée : nous avons déployé des systèmes d’exploration automatisés pour détecter les fausses applications et les sites Web malveillants. Cela nous permet de réagir rapidement et de supprimer ces menaces avant qu’elles ne puissent nuire à nos utilisateurs.

3. Campagnes de sensibilisation du public : Binance informe activement sa communauté de ces menaces par le biais de billets de blog, d'alertes sur les réseaux sociaux et d'e-mails. Nous insistons sur l'importance de télécharger des applications uniquement à partir de sources officielles, telles que Google Play ou l'App Store d'Apple, et d'éviter les sites Web tiers.

Comment se protéger

Voici ce que vous pouvez faire pour vous protéger des menaces posées par les logiciels malveillants Clipper :

1. Téléchargez des applications à partir de sources officielles : utilisez toujours des boutiques d'applications légitimes telles que Google Play ou l'App Store d'Apple. Évitez les sites Web tiers, même s'ils semblent proposer des versions localisées des applications. Soyez prudent lorsque vous installez des applications et assurez-vous d'installer les bonnes applications.

2. Vérifiez les adresses de portefeuille : avant d’effectuer une transaction de cryptomonnaie, vérifiez l’adresse de portefeuille que vous avez copiée. Pensez à utiliser une application de portefeuille qui met en évidence les parties clés de l’adresse pour faciliter la vérification.

3. Utilisez des mesures de sécurité strictes : activez l’authentification à deux facteurs (2FA) sur tous vos comptes et mettez régulièrement à jour vos paramètres de sécurité. Utilisez un logiciel antivirus et assurez-vous qu’il est toujours à jour. D’autres mesures de protection incluent, sans s’y limiter, la déconnexion après avoir accédé à des plateformes liées à la finance, la désactivation des services de connectivité et de localisation et la protection de vos informations personnelles. Enfin et surtout, ayez toujours un plan de secours et sécurisez physiquement votre appareil autant que possible.

4. Méfiez-vous des liens suspects : évitez de cliquer sur des liens inconnus dans les e-mails, les réseaux sociaux ou les applications de messagerie. Les campagnes de phishing accompagnent souvent la diffusion de logiciels malveillants, incitant les utilisateurs à télécharger des logiciels malveillants.

Réflexions finales

La menace des malwares Clipper est toujours présente et la gamme des méthodes de distribution s'est élargie au-delà des fausses applications Binance pour inclure des plateformes de communication largement utilisées comme Telegram et WhatsApp. Qu'elles soient sur mobile ou sur PC, ces fausses applications présentent un danger clair et présent pour les utilisateurs de cryptomonnaies du monde entier, en particulier dans les régions où l'accès aux magasins d'applications officiels est limité.

L'équipe de sécurité de Binance continue de surveiller, de détecter et de répondre à ces menaces, mais nous avons besoin de votre vigilance pour garder une longueur d'avance sur les attaquants. Restez informé, restez prudent et téléchargez toujours des applications à partir de sources fiables.

Pour les dernières mises à jour sur les menaces de cybersécurité, suivez nos articles de blog sur la sécurité.

Lectures complémentaires

• Protégez vos crypto-monnaies : comprendre les attaques de logiciels malveillants en cours dans le monde et ce que nous faisons pour les arrêter

• Attention aux arnaques sur WhatsApp – et comment les signaler lorsque vous en êtes témoin

• Comment éviter et signaler les escroqueries liées aux faux services