Selon un billet publié sur blog.popey.com (21 janvier 2026), un ex-employé de Canonical et mainteneur de nombreux snaps alerte sur une campagne persistante visant le Snap Store, avec une nouvelle méthode d’escalade: le détournement de comptes éditeurs via des domaines expirés.

L’auteur décrit une campagne continue où des acteurs publient des malwares sur le Snap Store géré par Canonical. Après des vagues de faux wallets (Exodus, Ledger Live, Trust Wallet), les attaquants ont adopté une tactique plus préoccupante: racheter des domaines appartenant à d’anciens éditeurs (une fois expirés), lancer une réinitialisation de mot de passe sur le compte Snap associé, puis pousser des mises à jour malveillantes sur des applications jusque-là de confiance. Deux domaines affectés sont cités: storewise.tech et vagueentertainment.com. 🛑

Avant cette escalade, plusieurs méthodes de contournement sont détaillées: publication d’apps factices avec vitrines crédibles, homographes Unicode (remplacement de lettres par des caractères visuellement proches), et bait-and-switch (publier un jeu inoffensif puis remplacer par un faux wallet après approbation).

Sur le plan technique, l’analyse d’échantillons montre un schéma récurrent: l’application rend une page imitant un wallet, vérifie la connectivité via https://togogeo.com/trust.php?name=8888-8888, puis exfiltre la phrase de récupération vers les opérateurs, avec un flux de notification vers Telegram. Initialement, l’URL renvoyait des métadonnées révélant un bot et un compte Telegram associés; depuis, la réponse a été réduite à un « ! ». Les opérateurs seraient « probablement » basés en ou près de la Croatie (selon les données collectées par l’auteur).

L’auteur a créé SnapScope (basé sur Syft et Grype) pour générer des SBOM et signaler des paquets suspects, et souligne que le but est d’alerter sur un problème réel du Snap Store, en particulier l’atteinte au signal de confiance lié à l’ancienneté des éditeurs. Il s’agit d’un témoignage technique et d’une veille communautaire visant à documenter et signaler la menace.

Indicateurs de compromission (IOCs):

  • Domaine/URL: https://togogeo.com/trust.php?name=8888-8888
  • Telegram bot: “SmartShieldBot” (username: pandadrainerbot, id: 7477383815)
  • Compte Telegram: @ikaikaika101 (chat id: 5915612669)
  • Noms de domaines éditeurs détournés: storewise.tech, vagueentertainment.com

Tactiques, techniques et procédures (TTPs):

  • Abus d’App Store (publication de snaps malveillants)
  • Prise de contrôle de compte via rachat de domaines expirés et réinitialisation de mot de passe
  • Homographes Unicode pour contourner les filtres
  • Bait-and-switch (app inoffensive puis remplacement par malware)
  • Vol de seed phrase de wallets crypto
  • Vérification de connectivité et exfiltration via HTTP/Telegram
  • Réutilisation du même code sous différents noms

Type d’article: analyse de menace visant à documenter une campagne de malware ciblant le Snap Store et à en exposer les techniques.

🧠 TTPs et IOCs détectés

TTP

[‘Abus d’App Store (publication de snaps malveillants)’, ‘Prise de contrôle de compte via rachat de domaines expirés et réinitialisation de mot de passe’, ‘Homographes Unicode pour contourner les filtres’, ‘Bait-and-switch (app inoffensive puis remplacement par malware)’, ‘Vol de seed phrase de wallets crypto’, ‘Vérification de connectivité et exfiltration via HTTP/Telegram’, ‘Réutilisation du même code sous différents noms’]

IOC

[‘https://togogeo.com/trust.php?name=8888-8888’, ‘SmartShieldBot (username: pandadrainerbot, id: 7477383815)’, ‘@ikaikaika101 (chat id: 5915612669)’, ‘storewise.tech’, ‘vagueentertainment.com’]

🔗 Source originale : https://blog.popey.com/2026/01/malware-purveyors-taking-over-published-snap-email-domains/