[INFO] Des millions d'utilisateurs de téléphones Android victimes de minage de cryptomonnaie

Comme chaque semaine, le CERT-XMCO partage un bulletin publié durant la semaine précédente. Cette fois-ci, nous vous proposons de revenir sur la découverte de millions de smartphones Android minant des cryptomonnaies à l’insu de leurs utilisateurs.

Description :

Les pirates profitent de toutes les plateformes possibles pour miner du Monero, une cryptomonnaie réputée intraçable.

En effet, en plus des applications malveillantes récemment découvertes (voir CXN-2018-0669), les pirates se servent de redirections vers des pages Web malveillantes pour tirer parti de la puissance de calcul des utilisateurs Android.

Une fois présent sur l’une de ces pages, la victime mine du Monero directement depuis son navigateur. Mis à part la chaleur émise par le processeur fonctionnant à 100%, l’utilisateur n’a aucun moyen de se rendre compte du subterfuge.
La page est présentée avec un message indiquant un comportement suspect du téléphone, et demandant la résolution d’un captcha. Le téléphone continue son travail de minage tant que le captcha n’est pas résolu. Une fois résolu, l’utilisateur est redirigé vers la page google.com.

Le trafic estimé vers ces sites est d’environ 800 000 visites/jours, pour une moyenne de 4 minutes passées sur la page de minage. À raison de 10 hashs/secondes pour les processeurs ARM, les chercheurs estiment la valeur du butin à quelques milliers de dollars par mois.

Malgré la faible capacité des processeurs, la quantité de victimes permet de compenser cette faiblesse, de la même manière que ce que nous observons avec les équipements IoT.

Face à ce type de risque, le CERT-XMCO recommande la plus grande vigilance lors de l’installation d’applications mobiles ou lors de la visite de sites web.

Indicateurs de compromission :

Domaines :

• rcyclmnr[.]com
• rcylpd[.]com
• recycloped[.]com
• rcyclmnrhgntry[.]com
• rcyclmnrprd[.]com
• rcyclmnrepv[.]com

Domaines impliqués (potentiellement non malveillants) :

• panelsave[.]com
• offerreality[.]com
• thewise[.]com
• go.bestmobiworld[.]com
• questionfly[.]com
• goldoffer[.]online
• exdynsrv[.]com
• thewhizmarketing[.]com
• laserveradedomaina[.]com
• thewhizproducts[.]com
• smartoffer[.]site
• formulawire[.]com
• machieved[.]com
• wtm.monitoringservice[.]co
• traffic.tc-clicks[.]com
• stonecalcom[.]com
• nametraff[.]com
• becanium[.]com
• afflow.18-plus[.]net
• serie-vostfr[.]com
• pertholin[.]com
• yrdrtzmsmt[.]com
• yrdrtzmsmt.com
• traffic.tc-clicks[.]com

Clés Conhive:

• gufKH0i0u47VVmUMCga8oNnjRKi1EbxL
• P3IN11cxuF4kf2kviM1a7MntCPu00WTG
• zEqkQef50Irljpr1X3BqbHdGjMWnNyCd
• rNYyUQUC5iQLdKafFS9Gi2jTVZKX8Vl

Références :

https://blog.malwarebytes.com/threat-analysis/2018/02/drive-by-cryptomining-campaign-attracts-millions-of-android-users/

https://leportail.xmco.fr/watch/advisory/CXN-2018-0669

Référence CERT-XMCO :

• CXA-2018-0684