Le minage de crypto-monnaies est très tendance ces temps-ci. Saviez-vous que vos propres appareils pouvaient miner des crypto-monnaies à votre insu ? Chercheur en logiciels malveillants chez Avira, notre collègue Mihai Grigorescu s’est intéressé de près à MemeGenerator, une application gratuite pour Android qui génère également de la crypto-monnaie Monero, pour voir ce qui allait se passer. Voici ses conclusions :
1. La crypto-monnaie, ça chauffe
L’application MemeGenerator a un impact considérable sur la consommation d’énergie de l’appareil et le processeur, comme le montre l’illustration. L’appareil était visiblement plus chaud. On ne sait pas encore quelle conséquence l’utilisation d’un appareil à un tel niveau peut avoir sur l’appareil et sa batterie à long terme.
2. Le meilleur module de minage de crypto-monnaies
Il est très facile de concevoir une application pour Android trompeuse qui mine des crypto-monnaies Monero et qui a l’air totalement innocente. Le mineur Coinhive vous rend la tâche très facile. La seule façon pour l’utilisateur de s’en rendre compte, c’est quand son appareil chauffe, conséquence directe de la charge inhabituelle placée sur l’appareil lors du minage.
3. Des petits bouts qui s’accumulent
Le bénéfice pour les mineurs de crypto-monnaies sur votre appareil est faible, mais s’accumule. Contrairement aux PC, les appareils mobiles n’ont pas la puissance de calcul nécessaire pour permettre à un cybercriminel de miner une quantité significative de crypto-monnaies. Cependant, les petits montants qu’ils minent s’accumulent à chaque appareil infecté et les applications comme MemeGenerator leur permettent d’infecter un grand nombre d’appareils Android.
4. N’oubliez pas que c’est votre appareil
La décision de miner des crypto-monnaies vous revient à vous, le propriétaire de l’appareil, et non pas à des développeurs mal intentionnés, à votre insu. Toute autre manœuvre n’est que le vol pur et simple de votre temps et de vos ressources. C’est pourquoi Avira détecte ces applications comme ANDROID/Coinminer.X.Gen et le Javascript comme HTML/ExpKit.Gen2.
Voici le récit complet de l’interaction de Mihai avec l’application MemeGenerator :
Innocente de prime abord
La première chose que nous avons apprise à propos des applications mobiles, c’est qu’il est indispensable de s’intéresser aux autorisations requises.
Cette application ne requiert pas d’autorisation suspecte, l’accès au réseau est évidemment requis pour pouvoir partager les mèmes créés avec ses amis et l’enregistrement de fichiers sur la carte SD est également requis pour pouvoir enregistrer les mèmes.
L’application semblant légitime, les utilisateurs sont donc tentés de cliquer sur Installer pour poursuivre l’installation.
Après l’installation, l’application a créé une jolie icône sur l’écran d’accueil et nous avons cliqué dessus…
Sans explication, une liste d’images est apparue parmi lesquelles nous devions choisir. Pensant qu’il s’agissait d’images d’arrière-plan souhaitées, nous en avons choisie une :
Deux cases pré-remplies sont apparues sur l’image, « Texto superior » et « Texto inferior ». Après avoir saisi le texte « Why is my phone hot » (Pourquoi mon téléphone chauffe-t-il ?), nous avons obtenu le mème fini et des options pour le partager par e-mail, MMS ou Bluetooth.
De prime abord, cette application a l’air très simple pour effectuer ce qu’on lui demande : générer un mème personnalisé.
Rien ne permettait à l’utilisateur de suspecter que quelque chose ne tournait pas rond au sein de l’application. Pourtant, l’appareil commençait à chauffer sérieusement.
Un œil sous le capot
Un coup d’œil rapide dans LogCat révèle que l’application a été conçue avec App Inventor et qu’elle chargeait du contenu dans un WebView.
Nous avons décompilé l’application pour l’examiner de plus près :
En s’intéressant au code, nous avons remarqué que le contenu était chargé depuis le fichier APK, à partir du dossier de ressources Android. Nous avons donc examiné ce fichier :
Il s’agissait du code HTML qui générait la liste des images d’arrière-plan que nous avons vue apparaître au début. Et ce code chargeait également un fichier min.js :
Il s’agissait du mineur Coinhive de coinhive.com, nous avons retrouvé la même syntaxe dans leur documentation :
Dans ce cas-ci, « K2hXuRJ7cExO4bPknDEWhDabqM0Ls8e3 » était la clé du site.
Je brûle pour toi
Nous ne rêvions pas, le smartphone chauffait réellement. Avant de lancer l’application, le premier graphique de charge du processeur montrait un appareil au repos. Dès lors que l’application a été lancée, ce sont 48 % du processeur, une valeur de charge représentée en vert sur le camembert, qui servaient uniquement à miner des crypto-monnaies.
Conclusions sur les crypto-monnaies et les mèmes
Avec son approche modulaire, Coinhive Miner le dit clairement : il est très simple de créer une application d’apparence inoffensive pour miner des crypto-monnaies. La seule façon pour l’utilisateur de s’en rendre compte, c’est quand son appareil chauffe, conséquence directe de la charge inhabituelle placée sur l’appareil lors du minage.
Le minage de crypto-monnaies semble très tendance pour les cybercriminels d’aujourd’hui qui veulent tirer profit de votre appareil. En tant que société de cybersécurité, nous identifions et bloquons leurs tentatives d’endommager vos appareils, de dérober vos informations privées et de détourner ces appareils à leurs propres fins, comme le minage de crypto-monnaies. Pour ces raisons, nous détectons ces applications comme ANDROID/Coinminer.X.Gen et le Javascript tel que HTML/ExpKit.Gen2.
IOC
K2hXuRJ7cExO4bPknDEWhDabqM0Ls8e3 – clé de site de Coinhive
6d4daa7588df5e864485b6aab665bd66c79fe6aed842f22d86b8a54bd6dcc3a6 – Application Android
712bb1af37e7a67f86eb8b2826b8e9bd90af1d0cf213e0d8f5392dcdb5f8ed5d – CoinMiner JS
