Le Google Play Store, le magasin d'applications officiel de Google, s'est retrouvé au centre d'une controverse pour avoir "hébergé" des applications nuisibles pour les utilisateurs d'Android.
Porte-monnaie Coin
Certains experts en sécurité ont identifié deux portefeuilles numériques frauduleux sur le Play Store. Le premier, appelé Porte-monnaie Coin, permet aux utilisateurs de créer des portefeuilles pour une longue série de ressources numériques différentes. En particulier, Coin Wallet a proposé de générer une seule adresse de portefeuille pour déposer plusieurs crypto-monnaies: dommage que, en réalité, l'application ait effectivement utilisé un portefeuille appartenant au développeur pour chaque devise prise en charge, pour un total de 13 portefeuilles.
Chaque utilisateur de Coin Wallet s'est donc vu attribuer la même adresse que le portefeuille. En termes encore plus simples, le but réel de l'application était de convaincre les utilisateurs d'ouvrir des portefeuilles, tout en ignorant que cette adresse n'était pas la leur, mais l'adresse du développeur. Ainsi, une fois que les utilisateurs ont procédé au transfert de la crypto-monnaie vers les adresses communiquées, ils ont fini par perdre le contrôle de leurs devises numériques. Malheureusement, l'application a été mise à disposition sur le Play Store pendant trois mois, du 7 février au 5 mai. Au cours de cette présence, l'application a été installée plus de 1.000 XNUMX fois.
Portefeuille mobile Trezor
Une deuxième application frauduleuse présente sur le Play Store a été appelée à la place Portefeuille mobile Trezor. Dans ce cas, l'application visait à émuler le matériel utilisé pour les portefeuilles de crypto-monnaie de Trezor, parmi les leaders du secteur. Malheureusement, même dans ce cas, c'était une arnaque: l'application a ensuite fourni des instructions aux utilisateurs, leur demandant de saisir les données de connexion de leurs portefeuilles sur Trezor, les envoyant à un serveur contrôlé par les développeurs. Bien que, heureusement, différents niveaux de sécurité intégrés dans les "vrais" portefeuilles Trezor aient empêché les informations d'identification saisies d'accéder à des comptes légitimes, les experts en sécurité pensent que les adresses e-mail ou d'autres données personnelles pourraient être utilisées dans les attaques de phishing.
Malheureusement, les experts qui ont repéré cette deuxième fausse application ont fait valoir qu'à première vue, il s'agissait bien d'un logiciel crédible. Le nom de l'application, le nom du développeur, la catégorie d'application, la description de l'application et les images semblaient tous invoquer la légitimité des services Trezor. Bien sûr, en y regardant de plus près, il s'est avéré que cette application n'avait rien à voir avec Trezor.
La certitude a finalement été obtenue en installant l'application. L'icône affichée sur l'écran du smartphone était nettement différente de la véritable application Trezor et montrait les mots "Coin Wallet".
Dans ce chaos, la diffusion de l'application a été plus réduite, étant donné qu'elle a été supprimée de la boutique il y a quelques jours et qu'elle a été téléchargée sur Google Play le 1er mai. Les téléchargements d'applications devraient donc être beaucoup plus petits. Les analystes de sécurité ont constaté que les deux applications étaient connectées au même domaine (coinwalletinc [.] Com).
