Actualités de la sécurité

Un malware de minage de cryptomonnaie s'introduit dans Google Play

Nikolaos Chrysaidos, 3 novembre 2017

Avast trouve et détecte une application qui mine la cryptomonnaie Monero. Comment fonctionne-t-elle ?

Le minage de cryptomonnaie est un sujet d'actualité, notamment depuis que les sites Internet ont récemment eu recours au minage de cryptomonnaie pour remplacer la publicité. Comme pour de nombreuses tendances malveillantes, les cybercriminels sont passés rapidement des PC aux appareils mobiles.

Cette semaine, nous avons découvert une application qui contient des capacités de minage de cryptomonnaie sur Google Play Store se faisant passer pour le jeu Cooee. Entre 1 000 et 5 000 utilisateurs ont téléchargé l'application.

Nous avons détecté le malware comme JSMiner et nous avons signalé l'application à Google hier.

XCooeep Google Play app.png

XCooeep_Google_Play_app_details.png

Le minage de cryptomonnaie

Il est important de comprendre que le minage de cryptomonnaie est en réalité une activité légale. Une mise à l'échelle suffisamment importante pour maximiser les profits exige cependant une forte puissance de calcul, ce qui explique pourquoi certains mineurs exploitent d'énormes fermes de serveurs afin de miner des Bitcoins ou d'autres cryptomonnaies, telles que le Litecoin, Ethereum ou Monero.

Construire l’infrastructure, l’entretenir et avoir accès à l’électricité nécessaire pour les exploiter nécessite un investissement financier colossal.

Étant donné que le minage de cryptomonnaie coûte cher, les mineurs abusent de la puissance de traitement d'autres appareils et diffusent des programmes de minage par le biais d'applications et de sites Internet. Nous considérons le minage de cryptomonnaie comme malveillant quand il est effectué sans l'autorisation de l'utilisateur, ce qui est le cas ici.

Fonctionnement de l’application

Pour que le malware démarre le processus de minage, il suffit que l'utilisateur clique sur le bouton ci-dessous après avoir téléchargé l'application. La fonction principale du bouton devrait être de permettre à l'utilisateur de se connecter à la page de la communauté du chat en 3D du club Cooee.

XCOOEEP_Button.png

Après avoir cliqué sur le bouton ci-dessus, une nouvelle vue Web s'ouvre en arrière-plan. Le malware peut ainsi charger du code CoinHive Javascript à partir d'une adresse hôte externe. Le minage commence.

Une fois le processus de minage lancé, le téléphone chauffe car l'utilisation du processeur est très élevée.

Le malware mine la cryptomonnaie Monero. L'objectif final des cybercriminels est le gain financier. Cependant, ce dont les cybercriminels ne semblent pas se rendre compte, c'est que le minage sur un appareil mobile ne peut pas générer beaucoup de profits.

Les appareils mobiles ne disposent pas de la même puissance de traitement que les PC qui leur permettrait de miner efficacement. Par ailleurs, les appareils mobiles ont souvent une autonomie limitée parce qu'ils ne sont pas constamment sous secteur, ce qui limite ainsi le temps de minage.

Dans le code ci-dessous, nous pouvons remarquer que le malware ouvre deux vues Web : une première vue avec la page de connexion (Clubcooee) et une seconde vue invisible avec le site qui héberge le code Coinhive JS.

CoinHive_Webview.png

La nouvelle vue Web est masquée (android:visibility="invisible"), de sorte que l'utilisateur ne puisse rien remarquer, hormis peut-être l'augmentation de la température de son téléphone.

CoinHive_Webview_invisible.png

Voici le code CoinHive JS qui est utilisé pour le minage :

CoinHive_JS.png

Comment peut-on s'en protéger ?

Ce qu'il est intéressant de constater, c'est à quel point il est facile d'intégrer le code CoinHive dans une application mobile et de commencer à miner. Cette nouvelle tendance de malwares de minage d'appareils mobiles continuera à croître étant donné la facilité de mise en œuvre du système et se diffusera peut-être plus largement car des centaines de milliers d'appareils environ sont nécessaires pour pouvoir miner efficacement les cryptomonnaies via les smartphones.

Pour éviter que votre téléphone ne soit utilisé pour miner, assurez-vous d'installer Avast Mobile Security (si ce n'est pas déjà fait). En outre, surveillez les applications que vous avez installées et la quantité de ressources du processeur qu'elles utilisent.

Si vous remarquez que votre téléphone chauffe très rapidement, surtout lorsqu'il n'est pas en cours d'utilisation, identifiez les applications qui consomment plus de puissance de traitement qu'elles ne le devraient, puis envisagez de désinstaller les applications en question.

IOC

SHA256Host78CBF53BBEC98D641241F7A4D34655684FAE1CD85A3782A1E49C1C7BCBC7F5D2http://pagebin.com/eGHvp4jC

La vidéo ci-dessous montre l'utilisation du processeur avant le téléchargement de l'application, après le téléchargement et après l'ouverture de la page de connexion.


Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille.Pour toutes les dernières actualités, pensez à nous suivre sur FacebookTwitter et Google+.