Seaflower : une backdoor sur iOS et Android
Charles Gouin-Peyrot
Publié le 14 juin 2022 · 2 min de lecture
"À ce jour, le principal objectif actuel de SeaFlower est de modifier les portefeuilles Web3 avec un code backdoor qui finit par exfiltrer la phrase de semence", a déclaré Taha Karim, de Confiant, dans une analyse technique approfondie de la backdoor.Les applications ciblées comprennent les versions Android et iOS de Coinbase Wallet, MetaMask, TokenPocket et imToken.
Le modus operandi de SeaFlower consiste à mettre en place des sites Web clonés qui servent d'intermédiaires pour télécharger des versions trojanisées des applications de porte-monnaie qui sont pratiquement identiques à leurs homologues d'origine, à l'exception de l'ajout d'un nouveau code conçu pour exfiltrer la phrase de connexion vers un domaine distant.
L'activité malveillante est également conçue pour cibler les utilisateurs d'iOS au moyen de profils d'approvisionnement qui permettent aux applications d'être chargées sur les appareils.
Pour ce qui est de la manière dont les utilisateurs tombent sur ces sites Web proposant des portefeuilles frauduleux, l'attaque s'appuie sur des techniques d'empoisonnement du référencement sur des moteurs de recherche chinois tels que Baidu et Sogou.
Cette divulgation montre une fois de plus que les acteurs de la menace s'intéressent de plus en plus aux plates-formes Web3 populaires pour tenter de piller des données sensibles et de transférer des fonds virtuels de manière trompeuse. L'auteur
Charles Gouin-Peyrot
Journaliste tech et testeur indépendant, je décrypte la tech grand public. Spécialisé dans le hardware, l'audio et la maison connectée, je mets ma rigueur technique et mon expérience de formateur au service de mes tests. Mon objectif est simple : dépasser les fiches techniques pour vous livrer des analyses transparentes, impartiales et ancrées dans un usage 100 % réel.