Loapi peut détruire les appareils Android, mais pas sans avoir miné du Monero avant

Le logiciel malveillant Loapi est l’un de ces nombreux maliciels pour Android que se cache soit derrière le masque de la vertu – en prétendant être une solution de sécurité – soit celui de la luxure – en assurant donner accès à du contenu pornographique. Les chercheurs de Kaspersky l’ont débusqué derrière une vingtaine de ressources en ligne.

Dans un billet de blog, ils expliquent que l’application cherche d’abord à obtenir des droits d’administration – même si elle ne les utilise pas pour le moment. Mais sa nature modulaire laisse à penser qu’elle pourrait le faire à l’avenir. En l’état, elle apparaît surtout conçue pour générer des revenus, par tous les moyens possibles et imaginables.

Ainsi, un premier module se charge d’afficher agressivement des publicités sur le terminal. Le second est conçu pour abonner l’utilisateur à son insu à des services payant, facturables par l’opérateur mobile. Le module de gestion des SMS peut être là utilisé pour répondre aux demandes de confirmation d’abonnement, de manière furtive. Ce module sert également à la communication entre le maliciel et son infrastructure de commande et de contrôle, ainsi qu’à la collecte des textos destinés à l’utilisateur. Un module serveur mandataire http, ou proxy, est également présent : « il permet aux attaquants d’envoyer des requêtes http depuis le terminal de la victime », mais pourrait aussi servir à organiser des attaques en déni de service distribué (DDoS) – à l’instar par exemple de WireX.

Le dernier module à date n’est autre qu’un générateur de crypto-monnaie, du Monero, en l’occurrence, dont Nir Kshetri indiquait récemment dans nos colonnes s’attendre à ce que les cyber-délinquants s’y intéressent de plus près, en raison de sa discrétion accrue par rapport à Bitcoin. C’est d’ailleurs le cas aujourd’hui de Zealot, notamment.

Mais miner des crypto-deniers sur un serveur ou un poste de travail ne présente pas forcément les mêmes risques que sur un terminal mobile alimenté par batterie. Et les créateurs de Loapi ne semblent pas en avoir pris la mesure : les chercheurs de Kaspersky l’ont laissé s’exécuter sur un smartphone dont la batterie n’a pas manqué de gonfler, au bout de deux jours, jusqu’à déformer la coque de l’appareil, le tout sous l’effet de la charge de calcul et du trafic réseau généré.

La pratique retenue par les auteurs de Loapi n’est toutefois pas isolée. Selon Symantec, il y avait un peu plus de 25 maliciels mineurs de crypto-monnaie visant Android en 2016 ; il faut aujourd’hui compter avec environ dix de plus. Le fait est que « les téléphones mobiles modernes embarquent des processeurs qui peuvent être aussi puissants que ceux d’ordinateurs de bureau de basse/moyenne gamme, ce qui aide à rendre le minage mobile plus viable ». Et c’est sans compter avec l’échelle à laquelle celui-ci peut potentiellement être étendu.