Une nouvelle campagne de malware sème la pagaille sur le Play Store. Selon les chercheurs de la firme de cybersécurité Cyble, plus de 20 applications frauduleuses ont été découvertes sur la boutique d’applications de Google. Leur méthode est simple, mais redoutablement efficace : elles usurpent l’identité d’applications de portefeuilles crypto réputés, comme PancakeSwap, SushiSwap, Raydium ou encore Hyperliquid.
Des portefeuilles crypto clonés pour tromper les utilisateurs
Une fois installées, ces fausses applications ouvrent une page web de phishing, soit dans le navigateur, soit directement au sein de l’application, et demandent à l’utilisateur sa phrase mnémonique, une suite de mots qui permet de restaurer l’accès à un portefeuille de cryptomonnaie. Une fois cette phrase saisie, les fonds sont tout simplement volés.
Parmi les portefeuilles ciblés, on trouve également Suiet Wallet, BullX Crypto, Meteora Exchange, Harvest Finance Blog ou OpenOcean Exchange. Cyble précise que les applications utilisent souvent des comptes développeurs compromis pour passer les contrôles de sécurité de Google, ce qui leur permet de se faire passer pour des logiciels légitimes.
Google a indiqué que toutes les applications identifiées dans le rapport ont été supprimées du Play Store. La firme souligne également que son système Google Play Protect est conçu pour détecter ce type de comportement et protéger les utilisateurs de manière proactive. Cependant, la campagne est toujours en cours, et d’autres applications malveillantes pourraient encore apparaître.
Les chercheurs de Cyble notent que les applications en question partagent plusieurs éléments en commun : des noms de « paquets » proches, des politiques de confidentialité contenant des liens vers des serveurs de commande (C&C), et des descriptions semblables. Autant d’indices qu’une infrastructure coordonnée est derrière cette opération.
Jake Moore, expert en cybersécurité chez ESET, appelle à la vigilance : « Même sur le Play Store, qui impose des contrôles stricts, il est important de vérifier les détails du développeur, les avis des utilisateurs et le nombre de téléchargements. » Il recommande aussi de ne jamais installer une application crypto sans passer par le site officiel du service concerné.
Cyble ajoute que l’opération utilise une infrastructure de phishing étendue, liée à plus de 50 domaines différents, ce qui rend sa détection plus difficile par les protections classiques. Voici les 20 apps en question :
Dans l’univers des cryptomonnaies, aucune banque ne viendra sauver l’utilisateur imprudent. Une phrase mnémonique divulguée, et les fonds disparaissent sans retour possible. Le meilleur réflexe reste d’installer les applications uniquement via les liens présents sur les sites officiels des portefeuilles crypto. Et si l’une des applications mentionnées figure sur votre smartphone, il est urgent de la supprimer.
Enfin, activer et maintenir Google Play Protect est une barrière supplémentaire contre ces applications, même si elle ne peut pas garantir une protection absolue. En matière de cryptomonnaie, la vigilance reste le meilleur rempart.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
