Les cybercriminels mobiles savent rapidement s’adapter, et ont tendance à surfer sur les tendances pour atteindre le public le plus large possible. La tendance actuelle est la cryptomonnaie.
Les cybercriminels profitent de l’engouement actuel pour les cryptomonnaies de plusieurs façons. Certains logiciels d’extraction mobiles cherchent secrètement à extraire ces monnaies numériques à l’insu des utilisateurs, tandis que d’autres tentent de duper les utilisateurs en installant des logiciels malveillants et en leur promettant une partie des fonds extraits, mais ont simplement en réalité l’intention d’afficher des publicités illégitimes. Les logiciels malveillants les plus sophistiqué tentent quant à eux de pirater les identifiants des portefeuilles de cryptomonnaie des utilisateurs afin de leur dérober leur argent.
Les logiciels d’extraction mobiles ont cependant quelques points communs. Pour commencer, la plupart d’entre eux parvient à s’infiltrer dans les boutiques d’applications officielles telles que Google Play et l’App Store d’Apple, et les utilisent pour atteindre un large public. Ils utilisent également des technologies introduites par d’autres familles de logiciels malveillants mobiles tels que les logiciels malveillants bancaires et les logiciels publicitaires, pour améliorer leurs résultats.
Dans cet article, nous examinerons cette tendance émergente et suggérerons des moyens de l’aborder.
1. Extraction secrète :
Il existe un type de logiciel d’extraction mobile qui infecte l’appareil d’une victime en se déguisant en application légitime sans aucun rapport avec l’extraction, puis utilise la puissance de calcul de l’appareil pour extraire des cryptomonnaies.
Ces logiciels malveillants reposent sur la formation d’un botnet à partir d’un grand nombre d’appareils, et, puisqu’ils font preuve d’une activité malveillante minimale, parviennent souvent à passer facilement au travers des défenses d’une boutique d’applications. En raison de leurs manœuvres clandestines, le nombre de ces logiciels d’extraction silencieux a augmenté durant ces quelques dernières années.
En effet, récemment, un grand nombre de ces applications malveillantes a réussi à infiltrer Google Play. Rien n’indique le fléchissement de cette tendance. Les chercheurs de Check Point ont également identifié un exemple de logiciel d’extraction sur Google Play qui a été téléchargé plus de 10 000 fois, avant d’être retiré de la boutique. Une autre souche de logiciel malveillant ciblait des utilisateurs via des messages SMS leur promettant gratuitement des bitcoins, pour ensuite exploiter plutôt leur appareil à des fins d’extraction. L’extraction de cryptomonnaie a également fait l’objet d’un module fourni à un botnet via l’un des logiciels malveillants les plus complets jamais découvert.
2. Fraude à l’extraction – Gains publicitaires frauduleux
Avec la hausse rapide de la valeur des cryptomonnaies, on comprend facilement que beaucoup aimeraient en profiter. Tout le monde n’a cependant pas les capacités techniques requises pour les extraire.
Les cybercriminels profitent donc de ce désir et du manque de savoir-faire pour promettre aux utilisateurs une part des cryptomonnaies extraites en contrepartie de l’installation volontaire de logiciels « d’extraction ».
Cette promesse de richesse est en réalité dénuée de vérité, et tout ce que l’utilisateur recevra en échange de sa bonne volonté est l’affichage de publicités indésirables et illégitimes, qui ne profitent qu’au développeur du logiciel malveillant.
Les chercheurs de Check Point ont récemment découvert un exemple de ce type de logiciel malveillant sur Google Play, dans une application qui a été téléchargée plus de 100 000 fois. L’application en question prétendait extraire des bitcoins et promettait de verser à chaque nouvel utilisateur 50 000 satoshis (la plus petite unité du bitcoin, d’une valeur d’environ 10 dollars au moment de la publication). Comme l’application prétend que l’utilisateur ne peut les retirer qu’après l’accumulation d’une quantité exorbitante de bitcoins, la part de l’utilisateur n’est jamais réellement versée, car la quantité de bitcoins souhaitée n’est jamais atteinte. L’application demande également aux utilisateurs de lui donner une note de cinq étoiles pour gonfler sa réputation et lui permettre de tromper encore plus d’utilisateurs.
Le logiciel malveillant sur Google Play | Fausse page « d’extraction »
3. Les logiciels cryptobancaires – Un nouveau type de logiciels malveillants bancaires mobiles
Enfin, et ce sont peut-être les plus nuisibles, les logiciels d’extraction mobiles qui tentent de dérober les identifiants du portefeuille de cryptomonnaie des victimes en se faisant passer pour des sites de cryptomonnaie populaires.
Le premier exemple a été découvert en octobre sur Google Play. Le logiciel malveillant s’était ici déguisé en application mobile de change de cryptomonnaie Poloniex. Une fois téléchargé, les pirates demandent alors à l’utilisateur de saisir ses identifiants, soi- disant pour se connecter à son compte, tout en le redirigeant vers un site compromis « połoniex.com » (remarquez le faux « l ») au lieu de « poloniex.com ».
Bien que les deux applications contenant le logiciel malveillant aient été retirées de la boutique Google Play, les chercheurs de Check Point ont découvert une nouvelle version un mois plus tard, à nouveau déguisée en application Poloniex. Cette fois, les pirate avaient réussi à s’inscrire frauduleusement avec un compte @poloniex.com. Le logiciel malveillant a été retiré de la boutique après que Check Point l’ait signalé à Google, mais pas avant qu’il ait été téléchargé plus de 10 000 fois.
{vidéo du logiciel malveillant}.
Les logiciels malveillants mobiles ont même réussi à pénétrer l’univers clos d’Apple en s’invitant dans l’App Store, avec un logiciel malveillant similaire, essayant d’amener les utilisateurs à accorder à l’application l’accès aux détails de leur compte et à leurs identifiants. Le logiciel malveillant a été rapidement supprimé après que des utilisateurs inquiets aient signalé son activité suspecte, mais ceci est un rappel qu’aucune boutique d’applications n’est invulnérable face aux logiciels malveillants mobiles.
Annexe 1 – Liste des hachages SHA256
Logiciels d’extraction sur Google Play : c5fd75c235a7954996694cf61986ece2e658d74eba6857328d1f025c62797d68
Fraude à l’extraction :
coinminerandroid.coinminer.cma.coinminerandroid, 028e00d9d0fe5594d6dde9ba284e58029db36711e2ca0e35fdc909ed1d42e241
Logiciel cryptobancaire : 306a4fd41ce67784db399eced6531ac629bd9fe05d3347665bb935f1100e37f2