Des utilisateurs pensaient acheter un smartphone Android classique à petit prix. Pourtant, certains sortent d’usine avec des applications piégées, capables de détourner leur cryptomonnaies. Derrière leur apparence trompeuse, elles cachent un système d’arnaque sophistiqué directement intégré au cœur du téléphone.

Les malwares sur Android ne sont pas nouveaux, et ils risquent d'être de plus en plus courants à cause de Donald Trump, mais certaines techniques deviennent de plus en plus inquiétantes. Ces derniers mois, plusieurs téléphones sous cet OS fabriqués en Chine ont été repérés avec des applications malveillantes préinstallées dès la sortie d’usine. Parmi elles, de fausses versions de WhatsApp et Telegram, modifiées pour intercepter des données sensibles.

D’après l’analyse de l’entreprise de cybersécurité Doctor Web, des téléphones Android bon marché intègrent des messageries clonées, infectées par un malware spécialisé. Le code malveillant, baptisé Shibai, permet notamment de détourner des transactions en cryptomonnaie. Lorsqu’un utilisateur envoie une adresse de portefeuille à un contact, celle-ci est remplacée à l’insu de tous par celle du pirate. Le plus troublant, c’est que l’application montre des adresses différentes selon l’appareil utilisé, pour ne pas éveiller les soupçons.

Des téléphones Android intègrent des fausses applications qui volent vos cryptomonnaies dès qu’ils s’allument

Les modèles concernés imitent des smartphones connus comme les Galaxy S23 Ultra ou Huawei P70 Ultra. En réalité, il s’agit de téléphones d’entrée de gamme vendus sous des marques peu connues, comme SHOWJI. Les pirates ont utilisé des outils pour afficher de fausses informations système, donnant l’impression que les appareils sont sous Android 14 avec du matériel haut de gamme. En plus de détourner les messages contenant des adresses Ethereum ou Tron, le malware récupère aussi les images stockées dans la mémoire, à la recherche de phrases de récupération utilisées pour restaurer des portefeuilles crypto.

Au total, plus de 40 applications auraient été modifiées, et l’opération s’appuierait sur plus de 60 serveurs distants. Les attaquants ont aussi utilisé une trentaine de noms de domaine pour diffuser leurs fausses applications. Selon les chercheurs, cette campagne aurait déjà permis aux pirates de collecter plus de 1,4 million d’euros. Cette attaque montre une nouvelle fois les risques liés à l’achat de téléphones à très bas prix, notamment lorsqu’ils ne passent pas par des canaux de distribution fiables.

Source : Catalyst