Le 8 février 2018

Des informations sur la propagation du Trojan Android.CoinMine.15, connu également sous le nom de ADB.miner, ont été publiées il y a quelques jours sur le blog d'une société chinoise de sécurité. Selon les chercheurs chinois le Trojan s’est propagé très rapidement pendant sa période d’activité, le nombre d’appareils contaminés doublant chaque jour. Les analystes de Doctor Web estiment que la plupart des appareils touchés par ce malware sont des téléviseurs intelligents, puisque ce sont eux qui, en règle générale, ont une connexion permanente à Internet en utilisant ADB.

Ce Trojan ciblant Android et conçu pour l'extraction de crypto-monnaie Monero est capable de contaminer d'autres appareils sans aucune intervention de l'utilisateur. Il contamine les appareils ayant le port 5555 ouvert, port utilisé par l'interface Android Debug Bridge (ADB). Outre les téléviseurs intelligents, les Smartphones, tablettes, tuners, récepteurs, lecteurs et routeurs peuvent être infectés, le malware touchant en général les disposifs utilisant le débogage via le réseau. Les ordinateurs Raspberry Pi 3 avec l'OS Android installé sont également vulnérables.

Le Trojan se propage de la manière suivante : depuis un appareil contaminé, l'application droidbot.apk et les fichiers ayant les noms nohup, sss et bot.dat sont installés sur l’hôte attaqué. Puis le fichier sss démarre à l'aide de l'utilitaire nohaup et exécute des fonctions de daemon. Ensuite, il extrait du fichier bot.dat d’autres composants du Trojan dont le fichier de configuration au format JSON, des applications miners (pour les version d'OS 32x et 64x) et un exemplaire du Trojan droidbot. Une fois lancé, droidbot génère une adresse IP de manière aléatoire, de façon bouclée et permanente, et tente de se connecter au port 5555. Si la tentative réussit, le Trojan essaie de contaminer un appareil détecté en utilisant l'interface du déboggueur ADB. Dans un flux séparé, Android.CoinMine.15 lance une application miner destinée à extraire de la crypto-monnaie Monero (XMR). Contaminé par des programmes malveillants de ce type, l'appareil peut réduire considérablement ses performances, il chauffe et consomme rapidement la batterie.

Dans l'OS Android, le débogueur ADB est désactivé par défaut, mais certains éditeurs le laissent activé. De plus, ADB peut être activé par l'utilisateur, ce mode de débogage étant souvent utilisé par les programmeurs. Selon les statistiques recuillies par Dr.Web pour Android, le débogueur Android Debug Bridge est activé sur 8% des appareils protégés par notre antivirus. Comte tenu du fait que ce paramètre peut être envisagé comme une menace potentielle, le contrôleur de sécurité Dr.Web avertit l'utilisateur et lui propose de le désactiver.

Les experts de Doctor Web recommandent à tous les propriétaires d'appareils Android d'effectuer une analyse de l'OS à la recherche des paramètres pouvant créer un risque. Pour ce faire, sur notre site ou sur Google Play, vous pouvez acheter Dr.Web Security Space pour Android, qui comprend ce Contrôleur de sécurité. Si l'option de débogage via USB est activée et non utilisée sur votre appareil, il serait mieux de la désactiver. Les produits antivirus Dr.Web pour Android détectent et éradiquent le Trojan Android.CoinMine.15, c'est pourquoi il ne représente pas de danger pour nos utilisateurs.

Plus d'infos sur ce Trojan

#Android #mining #crypto-monnaie