Un logiciel malveillant minier infecte le marché mobile via les applications Google Play

Les logiciels malveillants de minage de Cryptomonnaie pour les plateformes PC existent depuis un certain temps, mais ils sont désormais devenus mobiles, notamment via le système d'exploitation Android.

Une équipe de chercheurs en sécurité de Trend Micro aréussi à identifierdeux applications qui peuvent utiliser votre appareil Android pourle mien Litecoin et Dogecoin.

Les applications en question s'appellent Songs et Prized, et sont toutes deux disponibles sur le Google Play Store. Songs compte entre un et cinq millions de téléchargements à ce jour, tandis que Prized en compte entre 10 000 et 50 000.

Ce n'est pas le premier cas de malware de minage ciblant des plateformes nouvelles et inhabituelles. Linux a récemment eu ce qui était probablement son premier aperçulogiciels malveillants de minageavec le ver Darlloz.

L'écosystème Android est bien plus BIT , mais le cibler est plutôt inutile d'un point de vue minier, car le matériel n'est tout simplement T à la hauteur.

Des logiciels malveillants sur la lune

Les chercheurs ont identifié le malware comme étant ANDROIDOS_KAGECOIN.HBT, qui a déjà été trouvé dans des copies reconditionnées de plusieurs applications populaires, notamment Football Manager Handheld et TuneIn Radio.

Les applications ont été injectées avec du code d'extraction de CPU provenant d'une application d'extraction Android légitime, basée surprocesseurCette fois-ci, le logiciel malveillant a été détecté sur des applications Google Play, plutôt que sur des applications reconditionnées provenant de magasins d'applications tiers.

L'approche non interventionniste de Google en matière de contrôle des applications (ou son absence) sera probablement tenue pour responsable du désordre, mais en toute honnêteté, ce ne serait pas la première fois qu'une grande entreprise technologique serait utilisée pour propager des logiciels malveillants de Cryptomonnaie .

Le soir du Nouvel An, les serveurs européens de Yahoo ont été rattachés àpropager des logiciels malveillants miniers à un grand nombre de PC, mais l'attaque semble avoir été limitée et relativement infructueuse.

Une fois installée, cette souche a lancé CPUminer et s'est connectée à un domaine dynamique, où elle a été redirigée vers un pool de minage de Dogecoin anonyme.

Trend Micro a déclaré :

Le 17 février, son réseau de mineurs mobiles lui avait rapporté des milliers de dogecoins. Après le 17 février, le cybercriminel a changé de pool de minage. Le logiciel malveillant est configuré pour télécharger un fichier contenant les informations nécessaires à la mise à jour de la configuration du mineur. Ce fichier de configuration a été mis à jour et il se connecte désormais au pool de minage bien connu WafflePool.

Les chercheurs affirment désormais avoir identifié exactement le même comportement dans les applications téléchargées depuis Google Play. Au moment de la publication, les deux applications étaient encore disponibles sur l'App Store de Google.

Cette fois-ci, le mineur a été configuré pour miner des litecoins plutôt que des dogecoins. Cependant, l'attention s'est initialement portée sur les dogecoins et les chercheurs pensent que le cybercriminel à l'origine du malware a « accumulé » une quantité importante de dogecoins.

Intelligent mais inutile

Bien que cette attaque ait infecté des milliers d'appareils, les chercheurs semblent déconcertés par le fait que quelqu'un ait choisi de la tenter. Les smartphones n'ont tout simplement T la puissance de traitement nécessaire pour miner efficacement des cryptomonnaies, et l'autonomie de la batterie constitue un autre problème.

Trend Micro souligne :

Aussi astucieuse que soit l'attaque, son auteur n'a peut-être pas réfléchi. Les téléphones ne sont pas suffisamment performants pour être des mineurs efficaces. Les utilisateurs remarqueront aussi rapidement le comportement étrange des mineurs : une charge lente et des téléphones HOT seront visibles, rendant leur présence peu discrète. Certes, ils peuvent gagner de l'argent de cette façon, mais à un rythme effréné.

Trend Micro souligne qu'il existe de nombreux signes révélateurs d'une infection. Les processeurs des appareils mobiles passent la majeure partie de leur temps à fonctionner au ralenti, il est donc relativement facile de remarquer un problème.

La batterie se décharge rapidement et se recharge lentement, mais la chaleur est un signe encore plus révélateur. Comme le savent tous les passionnés de jeux mobiles, les téléphones et tablettes chauffent rapidement, même après quelques minutes de jeu, car le processeur sur puce (SoC) passe à la vitesse supérieure et atteint sa fréquence d'horloge maximale en cas de forte charge.

Il devrait être relativement facile de déterminer si une application exploite du minage en arrière-plan. Les utilisateurs qui remarquent un comportement inhabituel sur leur appareil, comme un téléphone HOT ou une batterie faible, peuvent facilement identifier l'application responsable (aller dans Paramètres > Batterie) et la supprimer.

Il va sans dire que les deux applications mentionnées ci-dessus doivent être supprimées immédiatement de votre téléphone, si vous les avez installées.

Les SoC ARM utilisés dans la grande majorité des appareils Android actuels ne sont tout simplement T assez puissants pour miner des cryptomonnaies. Ils sont conçus pour être efficaces et fonctionner dans des limites thermiques et énergétiques strictes, imposées par la taille de l'appareil et, bien sûr, par la capacité de la batterie embarquée.

Même les processeurs d'application ARM les plus récents et les plus puissants utilisés dans les smartphones et tablettes Android haut de gamme, tels que le Snapdragon 800, le Tegra 4 ou l'Exynos 5, ne disposent T d'une fraction de la puissance de calcul nécessaire pour extraire des devises numériques dans un délai raisonnable.

En d'autres termes, il n'y a probablement T beaucoup de développeurs de logiciels malveillants prêts à perdre du temps à miner des données Android. Ce n'est pas parce que quelqu'un a tenté l'expérience que d'autres Réseaux sociaux , car les retours sur investissement sont tout simplement trop faibles.