Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le danger des logiciels d’extraction mobiles

juin 2018 par Check Point

Les cybercriminels mobiles savent rapidement s’adapter, et ont tendance à surfer sur
les tendances pour atteindre le public le plus large possible. La tendance actuelle est
la cryptomonnaie.

Les cybercriminels profitent de l’engouement actuel pour les cryptomonnaies de
plusieurs façons. Certains logiciels d’extraction mobiles cherchent secrètement à
extraire ces monnaies numériques à l’insu des utilisateurs, tandis que d’autres tentent
de duper les utilisateurs en installant des logiciels malveillants et en leur promettant
une partie des fonds extraits, mais ont simplement en réalité l’intention d’afficher des
publicités illégitimes. Les logiciels malveillants les plus sophistiqué tentent quant à eux
de pirater les identifiants des portefeuilles de cryptomonnaie des utilisateurs afin de
leur dérober leur argent.

Les logiciels d’extraction mobiles ont cependant quelques points communs. Pour
commencer, la plupart d’entre eux parvient à s’infiltrer dans les boutiques
d’applications officielles telles que Google Play et l’App Store d’Apple, et les utilisent
pour atteindre un large public. Ils utilisent également des technologies introduites par
d’autres familles de logiciels malveillants mobiles tels que les logiciels malveillants
bancaires et les logiciels publicitaires, pour améliorer leurs résultats.
Dans cet article, nous examinerons cette tendance émergente et suggérerons des
moyens de l’aborder.

1. Extraction secrète :
Il existe un type de logiciel d’extraction mobile qui infecte l’appareil d’une victime en
se déguisant en application légitime sans aucun rapport avec l’extraction, puis utilise
la puissance de calcul de l’appareil pour extraire des cryptomonnaies.
Ces logiciels malveillants reposent sur la formation d’un botnet à partir d’un grand
nombre d’appareils, et, puisqu’ils font preuve d’une activité malveillante minimale,
parviennent souvent à passer facilement au travers des défenses d’une boutique
d’applications. En raison de leurs manoeuvres clandestines, le nombre de ces logiciels
d’extraction silencieux a augmenté durant ces quelques dernières années.
En effet, récemment, un grand nombre de ces applications malveillantes a réussi à
infiltrer Google Play. Rien n’indique le fléchissement de cette tendance. Les
chercheurs de Check Point ont également identifié un exemple de logiciel d’extraction
sur Google Play qui a été téléchargé plus de 10 000 fois, avant d’être retiré de la
boutique. Une autre souche de logiciel malveillant ciblait des utilisateurs via des
messages SMS leur promettant gratuitement des bitcoins, pour ensuite exploiter
plutôt leur appareil à des fins d’extraction. L’extraction de cryptomonnaie a également
fait l’objet d’un module fourni à un botnet via l’un des logiciels malveillants les plus
complets jamais découvert.

2. Fraude à l’extraction - Gains publicitaires frauduleux
Avec la hausse rapide de la valeur des cryptomonnaies, on comprend facilement que
beaucoup aimeraient en profiter. Tout le monde n’a cependant pas les capacités
techniques requises pour les extraire.
Les cybercriminels profitent donc de ce désir et du manque de savoir-faire pour
promettre aux utilisateurs une part des cryptomonnaies extraites en contrepartie de
l’installation volontaire de logiciels « d’extraction ».
Cette promesse de richesse est en réalité dénuée de vérité, et tout ce que l’utilisateur
recevra en échange de sa bonne volonté est l’affichage de publicités indésirables et
illégitimes, qui ne profitent qu’au développeur du logiciel malveillant.
Les chercheurs de Check Point ont récemment découvert un exemple de ce type de
logiciel malveillant sur Google Play, dans une application qui a été téléchargée plus de
100 000 fois. L’application en question prétendait extraire des bitcoins et promettait
de verser à chaque nouvel utilisateur 50 000 satoshis (la plus petite unité du bitcoin,
d’une valeur d’environ 10 dollars au moment de la publication). Comme l’application
prétend que l’utilisateur ne peut les retirer qu’après l’accumulation d’une quantité
exorbitante de bitcoins, la part de l’utilisateur n’est jamais réellement versée, car la
quantité de bitcoins souhaitée n’est jamais atteinte. L’application demande
également aux utilisateurs de lui donner une note de cinq étoiles pour gonfler sa
réputation et lui permettre de tromper encore plus d’utilisateurs.
Le logiciel malveillant sur Google Play Fausse page « d’extraction »

3. Les logiciels cryptobancaires - Un nouveau type de logiciels malveillants bancaires mobiles
Enfin, et ce sont peut-être les plus nuisibles, les logiciels d’extraction mobiles qui
tentent de dérober les identifiants du portefeuille de cryptomonnaie des victimes en
se faisant passer pour des sites de cryptomonnaie populaires.
Le premier exemple a été découvert en octobre sur Google Play. Le logiciel malveillant
s’était ici déguisé en application mobile de change de cryptomonnaie Poloniex. Une
fois téléchargé, les pirates demandent alors à l’utilisateur de saisir ses identifiants, soidisant
pour se connecter à son compte, tout en le redirigeant vers un site compromis
« po ?oniex.com » (remarquez le faux « l ») au lieu de « poloniex.com ».
Bien que les deux applications contenant le logiciel malveillant aient été retirées de la
boutique Google Play, les chercheurs de Check Point ont découvert une nouvelle
version un mois plus tard, à nouveau déguisée en application Poloniex. Cette fois, les
pirate avaient réussi à s’inscrire frauduleusement avec un compte @poloniex.com. Le
logiciel malveillant a été retiré de la boutique après que Check Point l’ait signalé à
Google, mais pas avant qu’il ait été téléchargé plus de 10 000 fois.
vidéo du logiciel malveillant.
Les logiciels malveillants mobiles ont même réussi à pénétrer l’univers clos d’Apple en
s’invitant dans l’App Store, avec un logiciel malveillant similaire, essayant d’amener
les utilisateurs à accorder à l’application l’accès aux détails de leur compte et à leurs
identifiants. Le logiciel malveillant a été rapidement supprimé après que des
utilisateurs inquiets aient signalé son activité suspecte, mais ceci est un rappel
qu’aucune boutique d’applications n’est invulnérable face aux logiciels malveillants
mobiles.


Annexe 1 – Liste des hachages SHA256
Logiciels d’extraction sur Google Play :
c5fd75c235a7954996694cf61986ece2e658d74eba6857328d1f025c62797d68
Fraude à l’extraction :
coinminerandroid.coinminer.cma.coinminerandroid,
028e00d9d0fe5594d6dde9ba284e58029db36711e2ca0e35fdc909ed1d42e241
Logiciel cryptobancaire :
306a4fd41ce67784db399eced6531ac629bd9fe05d3347665bb935f1100e37f2


Voir les articles précédents

    

Voir les articles suivants