Une menace techniquement sophistiqué, connu sous le nom de SeaFlower, a ciblé les utilisateurs d’Android et d’iOS dans le cadre d’une vaste campagne qui imite les sites Web officiels de portefeuilles de crypto-monnaies dans le but de distribuer des applications pirates qui drainent les fonds des victimes.
Découvert pour la première fois en mars 2022, ce groupe d’activités » laisse entrevoir une relation étroite avec une entité de langue chinoise qui n’a pas encore été découverte « , d’après les noms d’utilisateur macOS, les commentaires du code source de la porte dérobée et l’utilisation abusive du réseau de diffusion de contenu (CDN) d’Alibaba.
« À ce jour, le principal objectif actuel de SeaFlower est de modifier les portefeuilles Web3 avec un code backdoor qui finit par exfiltrer la phrase de semence« , a déclaré Taha Karim, de Confiant, dans une analyse technique approfondie de la backdoor.
Les applications ciblées comprennent les versions Android et iOS de Coinbase Wallet, MetaMask, TokenPocket et imToken.
Le modus operandi de SeaFlower consiste à mettre en place des sites Web clonés qui servent d’intermédiaires pour télécharger des versions trojanisées des applications de porte-monnaie qui sont pratiquement identiques à leurs homologues d’origine, à l’exception de l’ajout d’un nouveau code conçu pour exfiltrer la phrase de connexion vers un domaine distant.
L’activité malveillante est également conçue pour cibler les utilisateurs d’iOS au moyen de profils d’approvisionnement qui permettent aux applications d’être chargées sur les appareils.
Pour ce qui est de la manière dont les utilisateurs tombent sur ces sites Web proposant des portefeuilles frauduleux, l’attaque s’appuie sur des techniques d’empoisonnement du référencement sur des moteurs de recherche chinois tels que Baidu et Sogou.
Cette divulgation montre une fois de plus que les acteurs de la menace s’intéressent de plus en plus aux plates-formes Web3 populaires pour tenter de piller des données sensibles et de transférer des fonds virtuels de manière trompeuse.
