Monero Mining Botnet Infecte des Milliers d'Appareils Android en Quelues Heures
À l'heure actuelle, la valeur de la plupart des crypto-monnaies populaires est en baisse, mais il est encore assez élevé par rapport à leur niveau il y a environ un an. La manie crypto-monnaie que nous avons observée au cours des derniers mois a également pris d'assaut les cybercriminels et, comme vous le savez probablement, nous avons vu un certain nombre d'attaques dans lequel les appareils appartenant à des utilisateurs sans méfiance ont commencé à extraire de l'argent numérique pour les escrocs. Samedi, la société de sécurité chinoise 360 Netlab a repéré le suivant dans une longue lignée d'outils d'extraction qui génèrent une crypto-monnaie appelée Monero. On peut dire que ça se répand comme une traînée de poudre.
Le nom du logiciel malveillant est ADB.Miner, et il affecte les appareils Android. C'est une mauvaise nouvelle pour les utilisateurs du système d'exploitation mobile de Google, car même si un mineur peut mettre beaucoup de pression sur le CPU et le GPU de votre ordinateur, il est peu probable qu'il cause des dommages physiques. Comme le cheval de Troie Loapi nous a montré il y a environ deux mois, cependant, lorsque l'exploitation minière a lieu sur un smartphone, le résultat pourrait être beaucoup plus sévère.
Contrairement à Loapi qui a trompé les utilisateurs en leur faisant croire que c'est une application qui fournit du contenu destiné aux adultes, ADB.Miner n'essaie pas de tromper les victimes de quelque façon que ce soit. En fait, le nouveau mineur peut être installé et exécuté sur un périphérique sans aucune interaction de l'utilisateur.
ADB.Miner porte le nom de l'interface de correction d'erreurs ADB. ADB signifie Android Debug Bridge, et c'est un outil qui permet aux techniciens de communiquer avec un appareil Android à partir d'un PC ou d'un ordinateur portable. ADB peut être utilisé à la fois via un câble USB et via le Wi-Fi via le port 5555. C'est le port qu'ADB.Miner recherche lorsqu'il étend le réseau de périphériques d'extraction de crypto-monnaie. Le processus de propagation est entièrement automatisé et fonctionne sans un Serveur de Commande et Contrôle (C&C), ce qui signifie que l'arrêt du réseau de zombies ne sera pas une tâche facile. Cependant, les auteurs d'ADB.Miner n'ont pas développé le module de propagation intelligent de zéro.
En fait, après avoir analysé de près le mineur, les experts de Netlab ont constaté qu'ADB.Miner utilise exactement le même outil de balayage et d'épandage que l'infâme Mirai. Nous savons tous avec quelle rapidité Mirai s'est propagée, et nous nous souvenons tous de l'ampleur de son impact. En théorie, malgré l'utilisation du même scanner, ADB.Miner devrait avoir beaucoup plus de problèmes de propagation.
Alors que Mirai ciblait toutes sortes de périphériques « Internet des objets » non sécurisés qui étaient laissés avec leurs mots de passe par défaut et tous les ports ouverts, ADB.Miner ne peut toucher qu'un seul système d'exploitation via un seul port. Ce port est fermé sur les gadgets Android par défaut.
En effet, la fonctionnalité de débogage d'Android devrait être désactivée, mais il semblerait que pour de nombreux appareils, ce n'est pas le cas. Netlab a commencé de surveiller le réseau de zombies le 31 janvier, et au 5 février, ils avaient déjà vu plus de 7 000 infections.
C'est certainement un nombre impressionnant, surtout considérant la courte période de temps, mais les pirates informatiques voudront probablement distribuer le mineur à un plus grand nombre d'appareils. Au moment de la rédaction, le portefeuille Monero (XMR) associé à l'attaque n'a reçu aucun paiement et a un solde en attente d'un peu plus de 0,001 XMR, ce qui équivaut à 0,20 $.
Seul le temps dira si les escrocs seront en mesure d'infecter plus de gens et faire de l'argent réel. Une chose est sûre, cependant - vous ne voulez certainement pas avoir ADB.Miner en cours d'exécution sur votre appareil, vérifiez les paramètres d'Android et assurez-vous que la fonctionnalité de débogage a été désactivée.