Seaflower : une backdoor sur iOS et Android

Louis Touzalin
Louis Touzalin
Ce site utilise des liens affiliés qui participent aux revenus du site. En les utilisant, ça ne vous coûte pas plus cher, mais un pourcentage nous est reversé pour continuer à vous informer et à proposer des tests toujours plus complets.

Une menace techniquement sophistiqué, connu sous le nom de SeaFlower, a ciblé les utilisateurs d’Android et d’iOS dans le cadre d’une vaste campagne qui imite les sites Web officiels de portefeuilles de crypto-monnaies dans le but de distribuer des applications pirates qui drainent les fonds des victimes.

Découvert pour la première fois en mars 2022, ce groupe d’activités  » laisse entrevoir une relation étroite avec une entité de langue chinoise qui n’a pas encore été découverte « , d’après les noms d’utilisateur macOS, les commentaires du code source de la porte dérobée et l’utilisation abusive du réseau de diffusion de contenu (CDN) d’Alibaba.

« À ce jour, le principal objectif actuel de SeaFlower est de modifier les portefeuilles Web3 avec un code backdoor qui finit par exfiltrer la phrase de semence« , a déclaré Taha Karim, de Confiant, dans une analyse technique approfondie de la backdoor.

Les applications ciblées comprennent les versions Android et iOS de Coinbase Wallet, MetaMask, TokenPocket et imToken.

D'autres articles intéressants

Le Google Pixel 9 proposera trois modèles différents
5G : Oppo annonce des avancées mondiales dans le domaine
Les Tesla supporteront prochainement les jeux Steam
Pourquoi Apple a du mal à vendre beaucoup de smartphones en Russie ?
GeForce Now : De nouveaux jeux disponibles sur la plateforme cette semaine

iOS

Le modus operandi de SeaFlower consiste à mettre en place des sites Web clonés qui servent d’intermédiaires pour télécharger des versions trojanisées des applications de porte-monnaie qui sont pratiquement identiques à leurs homologues d’origine, à l’exception de l’ajout d’un nouveau code conçu pour exfiltrer la phrase de connexion vers un domaine distant.

L’activité malveillante est également conçue pour cibler les utilisateurs d’iOS au moyen de profils d’approvisionnement qui permettent aux applications d’être chargées sur les appareils.

Pour ce qui est de la manière dont les utilisateurs tombent sur ces sites Web proposant des portefeuilles frauduleux, l’attaque s’appuie sur des techniques d’empoisonnement du référencement sur des moteurs de recherche chinois tels que Baidu et Sogou.

Cette divulgation montre une fois de plus que les acteurs de la menace s’intéressent de plus en plus aux plates-formes Web3 populaires pour tenter de piller des données sensibles et de transférer des fonds virtuels de manière trompeuse.

0/5 (0 Reviews)
Partager cet article
Laisser une note

Laisser une note

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Réseaux sociaux

Publicité

Vous aimerez aussi ...