Seaflower : porte dérobée pour iOS et Android

Written By Sara Rosso

Rédactrice passionnée depuis plus de de 15 ans. Sara vous trouve les dernières infos

Une menace sophistiquée connue sous le nom de SeaFlower a ciblé les utilisateurs d’Android et d’iOS dans le cadre d’une vaste campagne imitant les sites Web officiels de portefeuille de crypto-monnaie dans le but de distribuer des applications de piratage volant les fonds des victimes.

Ce groupe d’activités, détecté pour la première fois en mars 2022, « suggère une relation étroite avec une entité de langue chinoise encore inconnue », selon le nom d’utilisateur macOS, la source du commentaire de code et l’abus du réseau de diffusion de contenu (CDN) d’Alibaba.

« À ce jour, l’objectif principal de SeaFlower est de modifier les portefeuilles Web3 avec un code de porte dérobée qui finit par exfiltrer la phrase de départ », a déclaré Taha Karim de Confident dans une analyse technique approfondie de la porte dérobée.

Les applications ciblées incluent les versions Android et iOS de Coinbase Wallet, MetaMask, TokenPocket et imToken.

Le mode opératoire de SeaFlower consiste à mettre en place des sites Web clonés qui agissent comme des intermédiaires pour télécharger des versions trojanisées d’applications de portefeuille qui sont pratiquement identiques à leurs homologues d’origine, à l’exception de l’ajout d’un nouveau code conçu pour convertir la phrase de connexion en exfiltrer un domaine distant.

Les activités malveillantes visent également à attaquer les utilisateurs d’iOS via des profils d’approvisionnement qui permettent de charger des applications sur les appareils.

Alors que les utilisateurs tombent sur ces sites Web proposant des portefeuilles frauduleux, l’attaque s’appuie sur des techniques d’empoisonnement SEO sur les moteurs de recherche chinois comme Baidu et Sogou.

À Lire  Pain à OpenSea : des NFT historiques détruits... par erreur

Cette divulgation montre une fois de plus que les acteurs de la menace s’intéressent de plus en plus aux plates-formes Web3 populaires pour tenter de piller des données sensibles et de transférer des fonds virtuels de manière frauduleuse.