Qu’est-ce que Malware Clipper ? Comment cela affecte-t-il les utilisateurs d’Android ?

Le 8 janvier 2019, les utilisateurs ont vu la première version du malware Clipper sur le Google Play Store. Il s'est déguisé en application inoffensive pour inciter les gens à la télécharger, puis a commencé à rediriger la crypto-monnaie vers le propriétaire du malware.

Mais qu’est-ce que le malware Clipper, comment fonctionne-t-il et comment éviter les attaques de ce malware ?

En savoir plus sur le malware Clipper

• Qu’est-ce que le malware Clipper ?
• Comment fonctionne Clipper
• Depuis combien de temps Clipper existe-t-il ?
• Quelles applications contiennent Clipper ?
• Augmentation des attaques de cryptomonnaie
• Comment éviter une attaque de Clipper ?

Qu’est-ce que le malware Clipper ?

Clipper cible les adresses des portefeuilles de crypto-monnaie en une seule transaction. Cette adresse de portefeuille est comme la version crypto-monnaie d'un numéro de compte bancaire. Si vous souhaitez que quelqu'un vous paie avec une crypto-monnaie, vous devez lui fournir une adresse de portefeuille et le payeur la saisit dans ses informations de paiement.

Clipper détourne les transactions de crypto-monnaie en échangeant les véritables adresses de portefeuille avec celles appartenant au portefeuille du créateur de Clipper. Lorsque les utilisateurs effectuent des paiements à partir de comptes de crypto-monnaie, ils paient le créateur de Clipper au lieu du destinataire initial prévu.

Cela peut causer de graves dommages financiers si le logiciel malveillant parvient à détourner une transaction de grande valeur.

Comment fonctionne Clipper

Clipper effectue cet échange en surveillant le presse-papiers (où les données copiées sont stockées) d'un appareil infecté par Clipper. Chaque fois qu'un utilisateur copie des données, Clipper vérifie si le presse-papiers contient des adresses de portefeuille de crypto-monnaie. Si tel est le cas, Clipper l’échangera avec l’adresse du créateur du malware.

Désormais, lorsque les utilisateurs collent une adresse, ils collent l'adresse de l'attaquant au lieu de l'adresse légitime.

Clipper exploite la nature complexe des adresses de portefeuille. Ce sont de longues chaînes de chiffres et de lettres apparemment choisies au hasard. Il est très peu probable que le payeur réalise que l’adresse a été échangée, à moins qu’il n’ait utilisé l’adresse du portefeuille plusieurs fois.

Pire encore, sa complexité incite les utilisateurs à copier-coller l’adresse plutôt qu’à la saisir eux-mêmes à l’aide du clavier. C’est exactement ce que voulait Clipper !

Depuis combien de temps Clipper existe-t-il ?

Clipper lui-même n’a rien de nouveau. Il est apparu vers 2017 et se concentrait principalement sur les ordinateurs fonctionnant sous Windows. Depuis, Clipper ciblant Android a été développé et vendu sur le marché noir. Les applications infectées peuvent être trouvées sur des sites Web louches.

Ces sites sont à l’origine du malware Gooligan de 2016, qui a infecté plus d’un million d’appareils.

Il s'agit de la première version de l'application sur le Google Play Store, officiellement infectée par Clipper. Télécharger avec succès une application infectée par un logiciel malveillant sur la boutique d'applications officielle est un scénario de rêve pour les distributeurs de logiciels malveillants. Les applications téléchargées depuis le Google Play Store offrent un certain sentiment de sécurité, ce qui les rend plus fiables que les applications trouvées sur un site Web aléatoire.

Cela signifie que les gens téléchargent et installent souvent des applications à partir d’ici sans aucun doute, ce qui est exactement ce que souhaitent les créateurs de logiciels malveillants.

Quelles applications contiennent Clipper ?

Clipper est dans une application appelée MetaMask. Il s'agit d'un service qui permet en fait d'utiliser des applications distribuées basées sur un navigateur pour la crypto-monnaie Ethereum . MetaMask ne dispose actuellement pas d'application Android officielle, les créateurs de logiciels malveillants en ont donc profité pour faire croire que la version officielle avait été publiée.

Cette fausse application MetaMask a fait plus que simplement échanger des adresses de crypto-monnaie dans le presse-papiers. Il a également demandé les détails du compte Ethereum des utilisateurs dans le cadre de la création du faux compte. Une fois que l’utilisateur a saisi ses coordonnées, le créateur du malware disposera de toutes les informations dont il a besoin pour se connecter au compte.

Heureusement, une société de sécurité a découvert Clipper avant qu'il ne cause trop de dégâts. La fausse application MetaMask a été téléchargée le 1er février 2019, mais a été signalée et supprimée un peu plus d'une semaine plus tard.

Augmentation des attaques de cryptomonnaie

Bien que ce type d’attaque soit relativement nouveau, il n’est pas très surprenant. La crypto-monnaie est aujourd’hui une activité énorme, et elle permet de gagner d’énormes sommes d’argent. Même si la plupart des gens se contentent de gagner de l’argent par des moyens légaux, il y aura toujours ceux qui choisiront d’exploiter illégalement l’argent des autres.

Les cryptomonnaies sont une cible privilégiée des créateurs de malwares dans le monde entier. Ils détournent le processeur de l’appareil, le transformant en cryptomonnaie sans être détecté par l’utilisateur principal.

Comme cet exemple de malware Clipper, les sociétés de sécurité ont découvert de néfastes mineurs de crypto-monnaie infectant les applications du Google Play Store avec des logiciels malveillants. En tant que tel, cela pourrait n’être que le début d’une attaque de logiciels malveillants basés sur la cryptomonnaie attaquant les utilisateurs de téléphones Android.

Comment éviter une attaque de Clipper ?

Cela peut paraître très effrayant, mais éviter une attaque de Clipper est assez simple. Clipper dépend du fait que les utilisateurs ignorent son existence et ignorent les signes d’avertissement. Comprendre le fonctionnement de Clipper est important pour le vaincre. En lisant cet article, vous avez réalisé 90% du travail !

Tout d’abord, assurez-vous toujours de télécharger l’application depuis le Google Play Store. Bien que Google Play ne soit pas parfait, il est beaucoup plus sûr que d'autres sites Internet douteux. Essayez d'éviter les sites qui font office de magasins d'applications tiers pour Android, car ils sont beaucoup plus susceptibles de contenir des logiciels malveillants que Google Play.

Lorsque vous téléchargez des applications sur Google Play, vérifiez le nombre total de téléchargements de l'application avant de l'installer. Si une application existe depuis longtemps et qu’elle est peu téléchargée, le téléchargement peut être risqué. De même, si une application prétend être une version mobile d’un service populaire, vérifiez le nom du développeur.

Si le nom est différent (même légèrement différent) du nom officiel du développeur, c'est un signe d'avertissement important indiquant que quelque chose ne va pas.

Même si un téléphone est infecté par Clipper, les utilisateurs peuvent éviter une attaque en étant plus prudents. Vérifiez chaque adresse de portefeuille qui sera collée pour vous assurer qu'elle n'a pas été modifiée à mi-chemin. Si l'adresse que vous avez collée est différente de l'adresse copiée, cela signifie que Clipper se cache sur le système.

Exécutez une analyse antivirus complète sur Android et supprimez toutes les applications douteuses récemment installées.

Clipper peut être dangereux pour toute personne manipulant de grandes quantités de crypto-monnaie. La nature complexe des adresses de portefeuille, combinée à la tendance typique des utilisateurs à copier-coller, donne à Clipper une opportunité d'attaquer.

Beaucoup de gens ne réalisent même pas ce qu’ils ont fait jusqu’à ce qu’il soit trop tard !

Heureusement, vaincre le malware Clipper est simple : ne téléchargez jamais d’applications suspectes et vérifiez tous les liens du portefeuille avant de confirmer les transactions.