SeedSnatcher Malware (Android)

Quel type de logiciel malveillant est SeedSnatcher ?

SeedSnatcher est un logiciel malveillant Android déguisé en application cryptographique nommée Coin (cette application fonctionne comme un chargeur). Le logiciel malveillant est souvent diffusé via les canaux Telegram. Il commence par demander des autorisations de base avant d'accéder aux fichiers, contacts, journaux d'appels et autres données privées. Les cybercriminels l'utilisent principalement pour voler les informations relatives aux portefeuilles de cryptomonnaies et autres données sensibles.

SeedSnatcher android malware

SeedSnatcher en détail

Une fois à l'intérieur, le logiciel malveillant commence par collecter des informations sur l'appareil, telles que les identifiants système, les paramètres linguistiques, la taille de l'écran, le modèle matériel, la version Android et l'adresse IP publique. Il vérifie également quelles applications peuvent démarrer automatiquement, à quelle fréquence elles sont utilisées et si elles ont accès à des données sensibles, telles que le stockage, les contacts, les SMS, les journaux d'appels et les statistiques d'utilisation.

SeedSnatcher est conçu pour fonctionner sur les versions Android 6 à 13, mais ses fonctionnalités de vol peuvent également fonctionner sur les versions plus récentes. Il demande diverses autorisations pour accéder à un appareil et utilise ces autorisations à des fins malveillantes. S'il y est autorisé, SeedSnatcher peut lire, modifier et supprimer des fichiers stockés sur l'appareil, y compris des documents et des photos, permettant ainsi aux pirates de voler des données sensibles.

De plus, le logiciel malveillant peut accéder aux contacts, aux journaux d'appels et aux SMS, y compris aux codes OTP et 2FA, qui peuvent être utilisés pour compromettre des comptes bancaires ou cryptographiques. Il peut également lire et modifier les paramètres système, ce qui lui permet de compromettre la sécurité ou de rester indétectable sur l'appareil.

De plus, SeedSnatcher peut surveiller les applications ouvertes par la victime et utiliser ces informations pour détecter quand des applications bancaires ou cryptographiques sont actives. Cela permet au logiciel malveillant de voler des identifiants et de superposer de faux écrans sur des applications légitimes. Cela implique d'afficher de fausses superpositions imitant les écrans des portefeuilles cryptographiques et de capturer les phrases de récupération des portefeuilles.

On sait que ce logiciel malveillant est capable d'afficher de fausses pages Binance Chain Wallet, Coinbase wallet, imToken, MetaMask, OKX Wallet, TokenPocket, TronGlobal, TronLink et Trust Wallet afin de voler des informations. SeedSnatcher vérifie chaque mot de la phrase de récupération saisie par la victime afin de s'assurer qu'il s'agit bien d'une phrase de récupération valide.

Cela permet d'éviter les erreurs et garantit que les cybercriminels obtiennent une phrase de départ fonctionnelle qu'ils peuvent utiliser pour pirater un portefeuille cryptographique. De plus, SeedSnatcher peut accéder aux informations de compte stockées, y compris les comptes de messagerie électronique ou de réseaux sociaux, et interagir avec les données associées à ces comptes.

De plus, le logiciel malveillant peut inciter l'appareil à demander à l'utilisateur de désinstaller une application spécifique choisie par les cybercriminels, leur permettant ainsi de supprimer des applications de sécurité ou d'autres applications. Parmi les autres fonctionnalités, citons l'envoi secret de SMS rédigés par les cybercriminels et l'analyse de toutes les photos de la galerie de l'appareil. Il identifie les captures d'écran comme importantes, ce qui permet aux auteurs de menaces de les voler rapidement.

Résumé de la menace :
Nom	SeedSnatcher voleur
Type de menace	Malware Android, application malveillante
Noms de détection	AhnLab-V3 (Trojan/Android.BankerBock.1307961), Combo Cleaner (Android.Riskware.Agent.aKSN), ESET-NOD32 (Android/Spy.Agent.EVQ Trojan), Kaspersky (HEUR:Trojan-Banker. AndroidOS.Agent.yi), liste complète (VirusTotal)
Symptômes	L'appareil fonctionne lentement, les paramètres système sont modifiés sans l'autorisation de l'utilisateur, des applications douteuses apparaissent, l'utilisation des données et de la batterie augmente considérablement, les navigateurs redirigent vers des sites Web douteux, des publicités intrusives sont diffusées.
Méthodes de distribution	Telegram, fausses applications (par exemple, Coin), sites Web frauduleux.
Dommages	Vol d'informations personnelles (messages privés, identifiants/mots de passe, etc.), baisse des performances de l'appareil, batterie qui se décharge rapidement, baisse de la vitesse Internet, pertes importantes de données, usurpation d'identité, vol de cryptomonnaie.
Suppression des maliciels (Windows)	Pour éliminer d'éventuelles infections par des maliciels, analysez votre ordinateur avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. Téléchargez Combo Cleaner Un scanner gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.

Conclusion

SeedSnatcher est un logiciel malveillant Android très intrusif qui collecte des données détaillées sur les appareils, abuse des autorisations et vole des informations sensibles, en particulier les phrases de récupération des portefeuilles de cryptomonnaies. Il peut causer des problèmes tels que le piratage de comptes, le vol de cryptomonnaies et d'identité, et d'autres problèmes similaires.

D'autres exemples de logiciels malveillants ciblant les appareils Android sont Albiriox, Sturnus et Landfall.

Comment SeedSnatcher s'est-il infiltré dans mon appareil ?

SeedSnatcher est promu via les chaînes Telegram et d'autres plateformes sociales, où les victimes sont encouragées à télécharger l'APK (une fausse application appelée Coin). Chaque lien de téléchargement contient un identifiant unique, permettant aux attaquants de savoir quelle campagne ou quel promoteur a conduit à une installation.

Parmi les autres vecteurs d'infection possibles, on peut citer les fausses communautés liées à la cryptographie, les publications sur les réseaux sociaux, les messages directs contenant des liens APK, ainsi que les sites web trompeurs ou les boutiques d'applications tierces (non officielles).

Comment éviter l'installation de logiciels malveillants ?

Utilisez toujours les sites Web officiels ou le Google Play Store pour télécharger des applications. Lisez les avis avant d'installer des applications. Assurez-vous que votre appareil et vos applications sont toujours à jour, et utilisez une application de sécurité fiable pour rechercher les menaces. Évitez d'ouvrir les pièces jointes ou de cliquer sur les liens contenus dans des e-mails ou des messages que vous n'attendiez pas ou qui ne vous concernent pas.

Ne faites pas confiance aux publicités, aux liens et aux fenêtres contextuelles sur les sites Web suspects.

Fenêtre contextuelle du faux portefeuille OKX affichée par le logiciel malveillant (source : cyfirma.com) :

SeedSnatcher Malware fausse fenêtre contextuelle (source : cyfirma.com)

Faux formulaire de portefeuille d'importation présenté par SeedSnatcher (source : cyfirma) :

SeedSnatcher malware fausse page de portefeuille d'importation (source : cyfirma.com)

Menu rapide :

Introduction
Comment supprimer l'historique de navigation du navigateur web Chrome ?
Comment désactiver les notifications du navigateur dans le navigateur Web Chrome ?
Comment réinitialiser le navigateur web Chrome ?
Comment supprimer l'historique de navigation du navigateur web Firefox ?
Comment désactiver les notifications du navigateur dans le navigateur Web Firefox ?
Comment réinitialiser le navigateur web Firefox ?
Comment désinstaller les applications potentiellement indésirables et/ou malveillantes ?
Comment démarrer l'appareil Android en « mode sans échec » ?
Comment vérifier la consommation de batterie des différentes applications ?
Comment vérifier l'utilisation des données de différentes applications ?
Comment installer les dernières mises à jour logicielles ?
Comment réinitialiser le système à son état par défaut ?
Comment désactiver les applications disposant de privilèges d'administrateur ?

Supprimer l'historique de navigation du navigateur Web Chrome :

Suppression de l'historique de navigation Web de Chrome dans le système d'exploitation Android (étape 1)

Appuyez sur le bouton « Menu » (trois points dans le coin supérieur droit de l'écran) et sélectionnez « Historique » dans le menu déroulant qui s'ouvre.

Suppression de l'historique de navigation Web de Chrome dans le système d'exploitation Android (étape 2)

Appuyez sur « Effacer les données de navigation », sélectionnez l'onglet « AVANCÉ », choisissez la période et les types de données que vous souhaitez supprimer, puis appuyez sur « Effacer les données ».

[Retour à la Table des Matières]

Désactiver les notifications du navigateur dans le navigateur Web Chrome :

Désactiver les notifications du navigateur Chrome dans le système d'exploitation Android (étape 1)

Appuyez sur le bouton « Menu » (trois points dans le coin supérieur droit de l'écran) et sélectionnez « Paramètres » dans le menu déroulant qui s'ouvre.

Désactiver les notifications du navigateur Chrome dans le système d'exploitation Android (étape 2)

Faites défiler vers le bas jusqu'à ce que vous voyiez l'option « Paramètres du site » et appuyez dessus. Faites défiler vers le bas jusqu'à ce que vous voyiez l'option « Notifications » et appuyez dessus.

Désactiver les notifications du navigateur Chrome dans le système d'exploitation Android (étape 3)

Recherchez les sites Web qui envoient des notifications par navigateur, appuyez dessus et cliquez sur « Effacer et réinitialiser ». Cela supprimera les autorisations accordées à ces sites Web pour envoyer des notifications. Cependant, lorsque vous visiterez à nouveau le même site, il se peut qu'il vous demande à nouveau l'autorisation. Vous pouvez choisir d'accorder ou non ces autorisations (si vous choisissez de refuser, le site web passera dans la section « Bloqué » et ne vous demandera plus l'autorisation).

[Retour à la Table des Matières]

Réinitialisez le navigateur Web Chrome :

Réinitialisation du navigateur Chrome aux paramètres par défaut dans le système d'exploitation Android (étape 1)

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Applications » et appuyez dessus.

Réinitialisation du navigateur Chrome aux paramètres par défaut dans le système d'exploitation Android (étape 2)

Faites défiler vers le bas jusqu'à trouver l'application « Chrome », sélectionnez-la et appuyez sur l'option « Stockage ».

Réinitialisation du navigateur Chrome aux paramètres par défaut dans le système d'exploitation Android (étape 3)

Appuyez sur « GÉRER LE STOCKAGE », puis sur « EFFACER TOUTES LES DONNÉES » et confirmez l'action en appuyant sur « OK ». Notez que la réinitialisation du navigateur supprimera toutes les données qui y sont stockées. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres non par défaut et autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites web.

[Retour à la Table des Matières]

Supprimer l'historique de navigation du navigateur Web Firefox :

Supprimer l'historique de navigation de Firefox dans le système d'exploitation Android (étape 1)

Appuyez sur le bouton « Menu » (trois points dans le coin supérieur droit de l'écran) et sélectionnez « Historique » dans le menu déroulant qui s'ouvre.

Supprimer l'historique de navigation de Firefox dans le système d'exploitation Android (étape 2)

Faites défiler vers le bas jusqu'à ce que vous voyiez « Effacer les données privées » et appuyez dessus. Sélectionnez les types de données que vous souhaitez supprimer et appuyez sur « EFFACER LES DONNÉES ».

[Retour à la Table des Matières]

Désactiver les notifications du navigateur dans le navigateur Web Firefox :

Désactiver les notifications du navigateur dans le navigateur Web Firefox sous le système d'exploitation Android (étape 1)

Rendez-vous sur le site Web qui affiche les notifications du navigateur, appuyez sur l'icône affichée à gauche de la barre d'adresse (l'icône ne sera pas nécessairement « Verrouiller ») et sélectionnez « Modifier les paramètres du site ».

Désactiver les notifications du navigateur dans le navigateur Web Firefox sous le système d'exploitation Android (étape 2)

Dans la fenêtre contextuelle ouverte, sélectionnez l'option « Notifications » et appuyez sur « EFFACER ».

[Retour à la Table des Matières]

Réinitialisez le navigateur Web Firefox :

Réinitialisation du navigateur Firefox dans le système d'exploitation Android (étape 1)

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Applications » et appuyez dessus.

Réinitialisation du navigateur Firefox dans le système d'exploitation Android (étape 2)

Faites défiler vers le bas jusqu'à trouver l'application « Firefox », sélectionnez-la et appuyez sur l'option « Stockage ».

Réinitialisation du navigateur Firefox dans le système d'exploitation Android (étape 3)

Appuyez sur « EFFACER LES DONNÉES » et confirmez l'action en appuyant sur « SUPPRIMER ». Notez que la réinitialisation du navigateur supprimera toutes les données qui y sont stockées. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres non par défaut et autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites web.

[Retour à la Table des Matières]

Désinstallez les applications potentiellement indésirables et/ou malveillantes :

Suppression des applications indésirables/malveillantes du système d'exploitation Android (étape 1)

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Applications » et appuyez dessus.

Suppression des applications indésirables/malveillantes du système d'exploitation Android (étape 2)

Faites défiler vers le bas jusqu'à ce que vous voyiez une application potentiellement indésirable et/ou malveillante, sélectionnez-la et appuyez sur « Désinstaller ». Si, pour une raison quelconque, vous ne parvenez pas à supprimer l'application sélectionnée (par exemple, si un message d'erreur s'affiche), essayez d'utiliser le « Mode sans échec ».

[Retour à la Table des Matières]

Démarrez l'appareil Android en « mode sans échec » :

Le « mode sans échec » du système d'exploitation Android désactive temporairement toutes les applications tierces. L'utilisation de ce mode est un bon moyen de diagnostiquer et de résoudre divers problèmes (par exemple, supprimer les applications malveillantes qui vous empêchent de le faire lorsque l'appareil fonctionne « normalement »).

Démarrer un appareil Android en mode sans échec

Appuyez sur le bouton « Power » et maintenez-le enfoncé jusqu'à ce que l'écran « Power off » s'affiche. Appuyez sur l'icône « Power off » et maintenez-la enfoncée. Après quelques secondes, l'option « Safe Mode » apparaîtra et vous pourrez l'exécuter en redémarrant l'appareil.

[Retour à la Table des Matières]

Vérifiez l'utilisation de la batterie par différentes applications :

Vérification de l'utilisation de la batterie par différentes applications dans le système d'exploitation Android (étape 1)

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Maintenance de l'appareil » et appuyez dessus.

Vérification de l'utilisation de la batterie par différentes applications dans le système d'exploitation Android (étape 2)

Appuyez sur « Batterie » et vérifiez l'utilisation de chaque application. Les applications légitimes/authentiques sont conçues pour consommer le moins d'énergie possible afin d'offrir la meilleure expérience utilisateur et d'économiser de l'énergie. Par conséquent, une utilisation élevée de la batterie peut indiquer que l'application est malveillante.

[Retour à la Table des Matières]

Vérifiez l'utilisation des données de différentes applications :

Vérification de l'utilisation des données de diverses applications dans le système d'exploitation Android (étape 1)

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Connexions » et appuyez dessus.

Vérification de l'utilisation des données de diverses applications dans le système d'exploitation Android (étape 2)

Faites défiler vers le bas jusqu'à ce que vous voyiez « Utilisation des données » et sélectionnez cette option. Comme pour la batterie, les applications légitimes/authentiques sont conçues pour minimiser autant que possible l'utilisation des données. Cela signifie qu'une utilisation importante des données peut indiquer la présence d'une application malveillante. Notez que certaines applications malveillantes peuvent être conçues pour fonctionner uniquement lorsque l'appareil est connecté à un réseau sans fil. C'est pourquoi vous devez vérifier à la fois l'utilisation des données mobiles et Wi-Fi.

Vérification de l'utilisation des données de diverses applications dans le système d'exploitation Android (étape 3)

Si vous trouvez une application qui utilise beaucoup de données alors que vous ne l'utilisez jamais, nous vous recommandons vivement de la désinstaller dès que possible.

[Retour à la Table des Matières]

Installez les dernières mises à jour logicielles :

Maintenir le logiciel à jour est une bonne pratique en matière de sécurité des appareils. Les fabricants d'appareils publient en permanence divers correctifs de sécurité et mises à jour Android afin de corriger les erreurs et les bogues qui peuvent être exploités par les cybercriminels. Un système obsolète est beaucoup plus vulnérable, c'est pourquoi vous devez toujours vous assurer que le logiciel de votre appareil est à jour.

Installation des mises à jour logicielles dans le système d'exploitation Android (étape 1)

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Mise à jour logicielle » et appuyez dessus.

Installation des mises à jour logicielles dans le système d'exploitation Android (étape 2)

Appuyez sur « Télécharger les mises à jour manuellement » et vérifiez si des mises à jour sont disponibles. Si c'est le cas, installez-les immédiatement. Nous vous recommandons également d'activer l'option « Télécharger les mises à jour automatiquement » : cela permettra au système de vous avertir dès qu'une mise à jour est disponible et/ou de l'installer automatiquement.

[Retour à la Table des Matières]

Réinitialisez le système à son état par défaut :

Effectuer une « réinitialisation d'usine » est un bon moyen de supprimer toutes les applications indésirables, de restaurer les paramètres par défaut du système et de nettoyer l'appareil en général. Cependant, vous devez garder à l'esprit que toutes les données contenues dans l'appareil seront supprimées, y compris les photos, les fichiers vidéo/audio, les numéros de téléphone (stockés dans l'appareil, et non sur la carte SIM), les messages SMS, etc. En d'autres termes, l'appareil sera restauré à son état d'origine.

Vous pouvez également restaurer les paramètres système de base et/ou simplement les paramètres réseau.

Réinitialisation du système d'exploitation Android à ses paramètres par défaut (étape 1)

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « À propos du téléphone » et appuyez dessus.

Réinitialisation du système d'exploitation Android à ses paramètres par défaut (étape 2)

Faites défiler vers le bas jusqu'à ce que vous voyiez « Réinitialiser » et appuyez dessus. Choisissez maintenant l'action que vous souhaitez effectuer :
Réinitialiser les paramètres » : rétablit tous les paramètres système par défaut ;
« Réinitialiser les paramètres réseau » : rétablit tous les paramètres liés au réseau par défaut ;
« Réinitialisation des données d'usine » : réinitialise l'ensemble du système et supprime complètement toutes les données stockées ;

[Retour à la Table des Matières]

Désactivez les applications disposant de privilèges d'administrateur :

Si une application malveillante obtient des privilèges de niveau administrateur, elle peut gravement endommager le système. Pour assurer la sécurité maximale de votre appareil, vous devez toujours vérifier quelles applications disposent de tels privilèges et désactiver celles qui ne devraient pas en avoir.

Désactiver les applications Android disposant de privilèges d'administrateur (étape 1)

Allez dans « Paramètres », faites défiler vers le bas jusqu'à « Écran de verrouillage et sécurité » et appuyez dessus.

Désactivation des applications Android disposant de privilèges d'administrateur (étape 2)

Faites défiler vers le bas jusqu'à ce que vous voyiez « Autres paramètres de sécurité », appuyez dessus, puis appuyez sur « Applications d'administration de l'appareil ».

Désactivation des applications Android disposant de privilèges d'administrateur (étape 3)

Identifiez les applications qui ne devraient pas disposer de privilèges d'administrateur, appuyez dessus, puis appuyez sur « DÉSACTIVER ».

Foire aux questions (FAQ)

Mon appareil est infecté par le malware SeedSnatcher, dois-je formater mon périphérique de stockage pour m'en débarrasser ?

Il n'est généralement pas nécessaire d'effacer complètement votre appareil. Les logiciels malveillants tels que SeedSnatcher peuvent souvent être éliminés à l'aide de programmes antivirus ou anti-malware fiables, tels que Combo Cleaner.

Quels sont les principaux problèmes que peuvent causer les logiciels malveillants ?

Les logiciels malveillants peuvent effectuer toute une série d'actions nuisibles selon leur type. Ils peuvent voler des informations sensibles, installer d'autres logiciels malveillants, crypter ou supprimer des fichiers, ralentir ou perturber les performances du système, et mener d'autres activités. Les logiciels malveillants peuvent également permettre le contrôle à distance de l'appareil.

Quel est l'objectif de SeedSnatcher ?

SeedSnatcher a pour objectif de voler les phrases de récupération des portefeuilles de cryptomonnaies (et autres données liées à la connexion) ainsi que d'autres informations sensibles (par exemple, SMS, journaux d'appels, adresses IP, etc.) sur les appareils Android. Les cybercriminels utilisent principalement ce logiciel malveillant pour commettre des vols de cryptomonnaies.

Comment SeedSnatcher s'est-il infiltré dans mon appareil ?

SeedSnatcher s'est probablement introduit dans votre appareil via le téléchargement d'une fausse application, souvent partagée sur Telegram, les réseaux sociaux ou d'autres sources non fiables. Il se propage sous la forme d'un fichier APK déguisé en application liée à la cryptographie, incitant les utilisateurs à l'installer manuellement.

Combo Cleaner me protégera-t-il contre les logiciels malveillants ?

Oui, Combo Cleaner peut détecter et supprimer presque tous les logiciels malveillants connus. Cependant, les logiciels malveillants avancés se cachent souvent profondément dans le système, il est donc important d'effectuer une analyse complète du système.