Des applications Android infectées par des « virus de minage » de crypto-monnaies

Après les exten­sions Google Chrome qui viennent miner du Mone­ro à l’in­su des uti­li­sa­teurs, place aux applications !

Cer­tains cher­cheurs en sécu­ri­té infor­ma­tique ont décou­vert du « code de mining » caché dans cer­taines appli­ca­tions Android, réfé­ren­cées sur le Play Store.

Des cher­cheurs de Trend Micro Inc ont ain­si expli­qué dans un article de blog publié lun­di qu’ils étaient tom­bés sur des appli­ca­tions conte­nant « des codes de mining mali­cieux » uti­li­sant la tech­no­lo­gie « Dyna­mic Script Loa­ding » ain­si qu’une « injec­tion de code native » pour évi­ter d’être détectées.

Les appli­ca­tions uti­li­saient encore une fois le code déve­lop­pé par Coin Hive, qui a déjà été trou­vé sur plu­sieurs mil­liers de sites inter­net (dont The­Pi­ra­te­Bay), et pour­rait avoir affec­té plus de 500 mil­lions d’utilisateurs.

De manière simi­laire à celle qu’u­ti­lisent les pirates pour dif­fu­ser des mal­wares au sein d’ap­pli­ca­tions Android, ces appli­ca­tions, qui exé­cu­taient des scripts de cryp­to-mining à l’in­su de l’u­ti­li­sa­teur, pre­naient la forme d’ap­pli­ca­tions de confiance.

On pou­vait ain­si retrou­ver une appli­ca­tion pro­po­sant une col­lec­tion de papiers-peints (wall­pa­pers), une autre dédiée à l’op­ti­mi­sa­tion de la sécu­ri­té du réseau sans-fil, ou encore une autre plus ori­gi­nale appe­lée « Reci­ta­mo San­to Rosa­rio Free », qui sem­blait être conçue pour aider les catho­liques à prier.

« Ces menaces montrent que même les smart­phones peuvent être uti­li­sées pour mener à bien des acti­vi­tés de mining de cryp­to-mon­naies, même si, en pra­tique, ces efforts ne per­mettent de géné­rer qu’un pro­fit limi­té. » ont-expli­qué les chercheurs.

« Les uti­li­sa­teurs devraient être atten­tifs quant à une dégra­da­tion des per­for­mances de leur smart­phone suite à l’ins­tal­la­tion d’une appli­ca­tion. »

Bien que les appli­ca­tions concer­nées aient depuis été sup­pri­mées du Play Store, le simple fait que les pirates aient pu les y réfé­ren­cer consti­tue un signal d’a­lerte. Il est dif­fi­cile de savoir com­ment ils ont pu pas­ser sans encombres les véri­fi­ca­tions faites par Google.

Une source sug­gère tou­te­fois que le code de cryp­to-mining pour­rait avoir été ajou­té à ces appli­ca­tions seule­ment après qu’elles aient été réfé­ren­cées sur la plateforme.

La semaine der­nière, Coin­Hive elle-même avait fait l’ob­jet d’une attaque. D’a­près The­Ha­cker­News, des pirates auraient détour­né le code envoyé par Coin­Hive pour faire en sorte de s’ac­ca­pa­rer les récom­penses qui reve­naient nor­ma­le­ment à d’autres utilisateurs.

Réfé­rence : Sili­co­nAngle