Cryptojacking : Android n’y échappe pas

Dans le monde du cybercrime, le cryptojacking a le vent en poupe. Cette technique désigne le fait d’utiliser la puissance de calcul d’une machine pour miner des cryptomonnaies à l’insu de son propriétaire. L’apparition de modules dédiés, tels que CoinHive, en fin d’année 2017 a provoqué une véritable explosion de ce type d’attaque, qui présentent beaucoup d’avantage pour les cybercriminels et script kiddies : il ne s’agit pas ici de voler directement de l’argent ou des données, mais simplement de la puissance de calcul, ce qui limite du même coup les risques de sanction.

 

Dans un post de blog, l’éditeur antivirus MalwareBytes détaille ainsi une campagne de cryptojacking visant directement les utilisateurs de smartphone Android. Celle-ci est active depuis la fin d’année 2017 mais MalwareBytes indique avoir constaté un pic d’activité au mois de janvier 2018. Celle-ci a recours à du malvertising, des publicités malveillantes, pour rediriger les utilisateurs vers une page contenant un module de minage de cryptomonnaie.

Celle-ci se présente sous la forme d’une captcha, invitant l’utilisateur à prouver qu’il n’est pas un robot en rentrant une série de caractères affichés sur la page. Mais la page en question informe également l’utilisateur que la page contient un mineur de cryptomonnaie qui exploitera la puissance de calcul de l’appareil tant que l’utilisateur n’a pas résolu le captcha présenté. Le script utilise toute la puissance du CPU de l’utilisateur pour miner du monero, une cryptomonnaie fréquemment utilisée dans ce type de techniques.

Résoudre le captcha ne vous offrira rien de spécial : l’utilisateur est simplement redirigé vers une page Google. Le but des attaquants est ici de pousser l’utilisateur à passer le maximum de temps sur la page contenant le cryptominer, afin de pouvoir exploiter au maximum la puissance de calcul de la machine.

Les revenus générés par cette opération sont difficiles à évaluer, expliquent les chercheurs de MalwareBytes : « nous estimons que le trafic combiné généré par les différents domaines que nous avons identifié jusque là équivaut à environ 800 000 visites par jour, avec un temps de visite estimé à environ 4 minutes. » MalwareBytes estime que cela permet aux cybercriminels ayant recours à cette technique d’amasser « quelques milliers de dollars par mois. » Mais les domaines identifiés par MalwareBytes ne sont peut-être pas les seuls à être utilisés par les cybercriminels et les revenus de l’opération pourraient être bien supérieurs à cette estimation. Pour MalwareBytes, l’absence d’outils de filtrage du web sur Android, type Ad blocker, en fait une cible idéale pour ce genre d’opération mêlant cryptomining et malvertising.

Go to Source


bouton-devis