Un récent rapport de recherche a révélé une campagne visant à vider les portefeuilles de cryptomonéda par des applications frauduleuses hébergées dans l'Apple App Store. Les chercheurs en sécurité ont identifié 26 applications malveillantes posant comme portefeuilles connus - Metamask, Coinbase, Trust Wallet, OneKey et d'autres - avec l'intention de capturer les phrases de récupération (semences) et de permettre le vol de fonds directs.
L'ingénierie de la tromperie combine des techniques simples mais efficaces: variations orthographiques du nom des applications légitimes (typosquatting), logos et faux captures et jusqu'à la publication de ces applications comme jeux ou calculatrices pour cacher leur but réel. Cette apparence « sans danger » avait un but stratégique : beaucoup d'applications cryptographiques sont restreintes ou directement bloquées sur certains marchés, les présenter comme des logiciels inoffensifs est donc un moyen de surmonter les obstacles et d'obtenir la confiance des utilisateurs.
Selon l'analyse de Kaspersky, les 26 exemplaires font partie d'une campagne intitulée FakeWallet, qui a fait l'objet d'une précédente opération connue sous le nom de SparkKitty. Quand une victime ouvre l'application, le flux la redirige vers des pages d'hameçonnage qui imitent parfaitement les couvertures web des services de crypte. Ces pages ne demandent pas seulement des identifiants : elles incitent l'utilisateur à télécharger des versions cassées de sac à main en utilisant des profils d'approvisionnement iOS, un mécanisme Apple légitime qui, lorsqu'il est abusé, permet le chargement latéral de code non approuvé par l'App Store.
L'abus des profils d'approvisionnement est le lien critique de l'escroquerie. Apple offre des mécanismes d'affaires et de développement qui facilitent l'installation directe des applications sur les appareils; ces mêmes mécanismes peuvent être utilisés pour éviter l'examen régulier des magasins et distribuer des logiciels malveillants. Kaspersky documente comment des pages frauduleuses installent des profils qui permettent d'exécuter les applications threaded en dehors du flux normal de l'App Store.
Une fois installées, ces applications incluent un code qui intercepte les phrases mnémoniques lorsque l'utilisateur crée ou récupère un portefeuille. Le texte capturé est numéroté et envoyé à l'opérateur de fraude. Dans le cas de portefeuilles froids (porte-monnaie) comme Ledger, les attaquants ont utilisé des écrans de vérification frauduleux dans l'application pour persuader l'utilisateur d'entrer manuellement sa phrase de démarrage sous l'excuse d'un contrôle de sécurité. Cette phrase, qui ne devrait jamais être partagée, permet de rétablir le portefeuille dans un autre dispositif et de transférer immédiatement les actifs.
Nous devons le comprendre sans technicité: la phrase de départ est la clé maîtresse d'un portefeuille. Quiconque sait qu'il peut recréer le portefeuille et déplacer les fonds sans la possibilité d'inverser l'opération dans la plupart des blockchains. C'est pourquoi les spécialistes répètent un maximum simple et fort: jamais entrer votre phrase de récupération dans une application ou web, même s'il semble officiel.
L'équipe de Kaspersky avertit que, bien que la campagne soit axée sur les utilisateurs en Chine, le code et les méthodes ne comportent pas de restrictions géographiques intrinsèques : si les opérateurs décident d'étendre leur cible, les utilisateurs d'autres régions pourraient être touchés. Apple a retiré les 26 applications de l'App Store après la notification responsable de Kaspersky, mais il y a encore des questions sur la façon dont ces binaires ont réussi à passer les contrôles initiaux du magasin et s'il y a eu des violations dans le processus de validation.
L'incident n'est pas isolé. La semaine dernière, une fausse application Ledger serait également arrivée à l'App Store et aurait facilité le vol d'environ 9,5 millions de dollars de cryptomonédas provenant des ordinateurs macOS des utilisateurs touchés. Des moyens spécialisés tels que Calculateur ont essayé d'obtenir plus d'informations d'Apple sur la façon dont les contrôles ont été évités, sans recevoir de réponse immédiate au moment de sa publication.
Quelles mesures pratiques les utilisateurs peuvent-ils prendre pour se protéger? Tout d'abord, toujours vérifier la source du lien vous utilisez pour télécharger un portfolio : accès depuis la page du fournisseur officiel ou depuis les liens que ce fournisseur publie sur ses canaux vérifiés. Si une application demande d'installer un profil de fourniture ou d'accéder à des options système avancées, il est nécessaire de soupçonner par défaut et de fermer le processus jusqu'à ce qu'il soit légitime.
En outre, il évite d'introduire la phrase de départ dans les applications ou les sites Web. Les portefeuilles de matériel sont conçus de sorte que la phrase ne sort jamais de l'appareil; si un écran demande la semence « pour la sécurité », c'est un signe de fraude. Les sociétés de portefeuille de matériel expliquent souvent l'utilisation sécuritaire de la phrase dans leurs ressources d'aide, comme le guide de Ledger sur ce qu'est une phrase de semences ( Académie du grand livre).
Mettre à jour le système d'exploitation et les applications, lire attentivement l'identité du développeur sur l'onglet App Store et méfier les installations qui dépendent des profils d'affaires sont des étapes supplémentaires pour minimiser les risques. Si vous avez récemment installé une application qui a demandé un profil et des doutes de son origine, désinstallez-le et supprimer tout profil associé des paramètres de l'appareil. Pour mieux comprendre le cadre technique que les attaquants exploitent, la documentation sur les programmes de développeur et d'entreprise d'Apple offre un contexte sur les profils d'approvisionnement ( Programme d'entreprise Apple Developer).
Si vous pensez que votre phrase d'amorçage a été compromise, la chose la plus prudente est de déplacer les fonds vers un nouveau portefeuille dont la sauvegarde n'a jamais été exposée nulle part et, si vous utilisez la marche matérielle, activez des fonctions de protection avancées telles que des mots de passe ou des comptes protégés supplémentaires. L'incident doit également être notifié au fournisseur de portefeuille et la fraude doit être signalée aux autorités locales et aux plateformes où vous avez trouvé l'application.
En arrière-plan, ces attaques rappellent une leçon classique de sécurité numérique : les chaînes de confiance sont aussi fortes que le maillon le plus faible. Lorsqu'une application malveillante est capable de simuler un service légitime, la responsabilité incombe en partie aux mécanismes de détection et à la prudence de l'utilisateur, mais aussi à la nécessité pour les magasins et les développeurs d'applications de renforcer les contrôles et les canaux de distribution officiels. Maintenir la garde et appliquer les pratiques d'hygiène numérique reste la meilleure défense.
Le rapport Kaspersky ( Analyse FakeWallet dans Securelist) et la couverture d'incidents connexes dans des médias spécialisés comme BleepingComputer.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...