Un nouveau mineur de Monero s'attaque aux terminaux Android

Depuis le début du mois, un nouveau botnet visant les terminaux Android se répand. Les équipes du Netlab de 360.cn ont lancé l’alerte le week-end dernier : le code malveillant correspondant emprunte certains éléments à Mirai, mais présente surtout les caractéristiques d’un ver et se propage via le service ADB permettant d’effectuer des opérations de maintenance, via le réseau, sur le port TCP 5555. Normalement fermé par défaut, ce port peut toutefois être ouvert, pour des besoins précis et ponctuels.

Dans un billet de blog, les équipes du Netlab expliquent l’essentiel des infections est constitué par des boitiers multimédia pour téléviseurs ou des smartphones. Le 3 février, il fallait compter entre 2750 et 5000 appareils compromis. Trois jours plus tard, les chercheurs estimaient que le nombre de terminaux affectés doublait « environ toutes les 12 heures ». Selon eux, le nombre « d’adresses IP infectées actives quotidiennement a atteint un pic à 7000 ». Et si la propagation apparaît largement centrée sur le Chine et la Corée du Sud, des appareils sont également affectés outre-Atlantique et en Europe, notamment.

Les équipes du Netlab indiquent avoir collecté neuf échantillons. Ceux-ci font ressorti un maliciel conçu pour miner du Monero, sur systèmes ARM 32 et 64 bits, avec l’incontournable XMRig.

Ce pas la première fois qu’un maliciel de minage de crypto-deniers s’attaque aux terminaux Android. Fin décembre, les chercheurs de Kaspersky avaient ainsi débusqué celui qu’ils ont appelé Loapi. Et ce dernier ne s’est pas montré sans risque : les chercheurs de l’éditeur l’ont laissé s’exécuter sur un smartphone dont la batterie n’a pas manqué de gonfler, au bout de deux jours, jusqu’à déformer la coque de l’appareil, le tout sous l’effet de la charge de calcul et du trafic réseau généré.

Mais selon Symantec, il y avait eu un peu plus de 25 maliciels mineurs de crypto-monnaie visant Android en 2016.