Le chercheur Lukáš Štefanko, qui travaille pour l’éditeur Eset, a découvert dans Google Play Store un malware Android capable de remplacer le contenu du presse-papier de l’appareil infecté.
De type « Clipper », ce code malveillant très spécifique cible les utilisateurs des crypto monnaies Bitcoin et Etherum, et il a pour objectif de rediriger les fonds transférés depuis le portefeuille (« wallet ») de la victime vers celui du criminel en changeant l’adresse de destination au moment où celui-ci est copié-collé. « Cette découverte montre que de tels “Clippers” capables de détourner des fonds ne sont plus réservés aux environnements Windows ou à des forums Android de seconde zone. Désormais, tous les utilisateurs Android doivent s’en méfier », explique Lukáš Štefanko dans un post.
Ce nouveau Clipper, désigné par les solutions de sécurité ESET sous le nom Android/Clipper.C, “profite du fait que bon nombre d’utilisateurs de crypto monnaies entrent rarement manuellement les adresses de portefeuilles, car elles représentent souvent de longues et fastidieuses chaînes de caractères. Ils préfèrent copier l’adresse depuis un document, puis la coller dans le wallet. Et c’est à ce moment, lorsque l’adresse est encore dans le presse-papier Android, que le malware est capable de la remplacer par une autre, appartenant au criminel“, précise l’éditeur.
De Windows à Android
Les premiers Clippers sont apparus dans l’écosystème Windows en 2017. Début novembre de cette année-là, Kaspersky découvrait un « crypto-stealer », un cheval de Troie répondant au nom de CryptoShuffler, spécialement conçu pour le vol de cryptomonnaie, ce malware s’attaque aux utilisateurs lorsqu’ils font un copier-coller du numéro du porte-monnaie de destination au cours d’une transaction de paiement. En 2018, les chercheurs découvraient même trois applications de ce type sur le site de téléchargement downolad.cnet.com, l’une des plateformes de téléchargement le plus populaire au monde. En août de la même année apparaissait le premier Clipper pour Android, mais il n’était alors distribué que sur des forums de piratage underground. Depuis, il a été détecté sur de nombreuses places de marché alternatives. Et maintenant sur Google Store. « Nous avons heureusement détecté ce malware peu de temps après qu’il ait été introduit sur la plateforme. Nous avons immédiatement alerté l’équipe sécurité de Google, qui l’a rapidement supprimé », explique Lukáš Štefanko.