Coinhive continue de faire parler de lui. Après que son script de minage de monnaie numérique a été découvert dans des sites à forte audience comme The Pirate Bay, il s’est retrouvé cette fois-ci embarqué dans deux applications qui ont été diffusées sur Google Play. Ce sont les chercheurs de Trend Micro qui ont mis le doigt sur "Recitiamo Santo Rosario Free" et "SafetyNet Wireless App", que Google a retirés, utilisaient le chargement dynamique de JavaScript et l'injection de code natif pour éviter la détection.
La première est une application qui est destinée à aider les utilisateurs à prier le rosaire, la seconde permet aux utilisateurs de « gagner gratuitement du crédit de communication téléphonique, d’appel et des données internet », crédit qui est gagné « en rachetant coupons et offres locales, en regardant des vidéos, en prenant part aux enquêtes et plus encore. »
« Ces deux échantillons font la même chose une fois qu'ils sont démarrés : ils vont charger le code de la bibliothèque JavaScript de Coinhive et commencer le minage avec la propre clé du site de l'attaquant », expliquent les chercheurs.
« Ce code JavaScript s'exécute dans le webview de l'application, mais il n'est pas visible pour l'utilisateur, car le webview est configuré pour fonctionner en mode invisible par défaut. Lorsque le code JavaScript malveillant est en cours d'exécution, l'utilisation du processeur sera exceptionnellement élevée. »
En clair, pendant que l'utilisateur garde les deux applications ouvertes, le mineur s'exécute, forçant les ressources téléphoniques à travailler à un niveau « exceptionnellement haut » afin d’extraire Monero pour le compte des auteurs des applications.
Le problème est que les applications ne demandent pas l'autorisation de le faire, et le comportement d'extraction de la monnaie électronique peut entraîner des situations telles que la surchauffe de l'appareil, réduire la durée de vie de la batterie ou des performances générales du périphérique.
Les comptes développeurs liés à ces applications semblent avoir été suspendus ou fermés. Néanmoins, il est toujours possible de télécharger ces applications depuis des sources tierces.
En plus de cela, les chercheurs ont également découvert qu’une application de fond d'écran légitime (com.yrchkor.newwallpaper) a été modifiée pour inclure une bibliothèque d'extraction de monnaie numérique. « Une autre famille d'applications malveillantes prend des versions légitimes d'applications et ajoute des bibliothèques d’extraction, qui sont ensuite reconditionnées et distribuées. Nous détectons celles-ci comme étant ANDROIDOS_CPUMINER. Une version de ce malware est dans Google Play et est déguisée en application de fond d'écran », a expliqué Trend Micro en faisant référence à une application proposant des fonds d’écran de voitures (Mercedes, BMW, Ferrari et Audi).
« L'efficacité des appareils mobiles pour produire réellement de la cryptomonnaie dans une quantité significative est encore relative », ont noté les chercheurs. Néanmoins, ils ont rappelé que « les effets sur les dispositifs des utilisateurs concernés sont clairs : usure accrue des appareils, durée de vie réduite, performances plus lentes. »
Mais les mineurs ne sont pas les seuls dangers qui tournent autour de la cryptomonnaie. En effet, la semaine dernière, ESET a découvert deux fausses applications qui proposaient d’échanger la cryptomonnaie Poloniex.
Les applications ont réussi à infecter des milliers d'utilisateurs, car le service Poloniex ne fournit pas d'applications mobiles officielles, ce qui fait que la plupart des utilisateurs les ont pris pour argent comptant.
Il est donc important que tous les amateurs de cryptomonnaies vérifient au préalable la disponibilité d’applications qui se veulent « officielles » directement sur le site officiel avant de procéder à une quelconque installation sur leurs téléphones.
Source : Trend Micro
Voir aussi :
Des pirates s'emparent du compte Cloudfare de Coinhive pour détourner la cryptomonnaie de milliers de sites, Coinhive promet des remboursements