LoudMiner uses virtualization software to mine cryptocurrency

ESET, ahglobal leader in IT security, today announced that its researchers have discovered an unusual cross-platform cryptocurrency miner called LoudMiner. LoudMiner uses virtualization software – QEMU (short for Quick Emulator) on macOS and VirtualBox on Windows – to mine cryptocurrency on a Tiny Core Linux virtual machine.

LoudMiner comes bundled in pirated copies of a type of audio software plugin interface called VST (Virtual Studio Technology). LoudMiner then uses the compromised machines to mine cryptocurrency and uses SCP (Secure File Copy) with an embedded username and private SSH key to self-update.

“LoudMiner targets audio applications, given the machines running these applications often have a higher processing power,” said Marc-Etienne M. Léveillé, senior malware researcher, ESET. “These applications are typically complex and have a high CPU consumption, so users will not find this activity unusual. Using virtual machines instead of another leaner solution is quite remarkable, and is not something we have typically seen before,” added Léveillé.

ESET has observed that LoudMiner has been in use since August 2018.

To protect yourself, ESET strongly recommends never downloading pirated copies of commercial software. ESET also advises users to beware of popups from unexpected “additional” installers, higher CPU consumption, as well as new services and connections from curious domain names. 

For more details, read the full research report, “LoudMiner: Cross-platform mining in cracked VST software”, on WeLiveSecurity.com.

De fausses applis de crypto-monnaie utilisent une nouvelle technique pour contourner les systèmes 2FA et éviter les règles de permission de Google

Des chercheurs d’ ESET ont découvert de fausses applications de crypto-monnaie utilisant une technique inédite pour contourner  une authentification à deux facteurs (2FA) basée sur SMS, qui contourne les récentes restrictions émises par Google. En mars dernier, Google a restreint l’utilisation des autorisation SMS et du journal des appels dans les applications Android, afin d’empêcher les applications intrusives d’en abuser à des fins illicites.

Les applications “BTCTurk Pro Beta,” “BtcTurk Pro Beta” et “BTCTURK PRO” usurpent  l'identité de l’application d'échange de la crypto-monnaie turque BtcTurk  et  hameçonnent des identifiants de connexion au service. Au lieu d’intercepter des messages SMS pour contourner la protection 2FA sur les comptes et les transactions des utilisateurs, ces applications malveillantes prennent le mot de passe à usage unique (OTP) des notifications qui apparaissent sur l’écran de l’appareil compromis. En plus de la lecture des notifications 2FA, les applications peuvent aussi les supprimer afin d’empêcher les victimes de remarquer des transactions frauduleuses. Les trois applications ont été téléchargés en Juin sur Google Play et ont rapidement été retirées suite à la notification faite par ESET.

Une fois installées et lancées, les fausses applications  BtcTurk demandent une autorisation nommée Notification access. Les applications peuvent alors lire les notifications affichées par d'autres applications installées sur l'appareil, ignorer celles-ci ou cliquer sur les boutons qu’elles contiennent. Selon l’analyse d’EST, les attaquants ciblent spécifiquement les notifications émises à partir d'applications SMS et de messagerie.

« Un des effets positifs des restrictions émises par Google depuis mars 2019 a été que ces applications, qui volet les informations d’identification, ont perdu la possibilité d’abuser de ces autorisations pour contourner les mécanismes 2FA basés sur SMS. Pourtant, grâce la découverte de ces fausses applications, nous venons de découvrir le premier malware qui contourne cette restriction d'autorisations SMS, » explique Lukáš Štefanko, chercheur chez ESET, auteur de cette étude.

L’autorisation Notification access a été introduite avec la version 4.3  de Jelly Bean d’Android,  ce qui veut dire en pratique que tous les appareils actifs sous Android sont sensibles à cette nouvelle technique. Cette fausse application BtcTurk requière la version Android 5.0 (KitKat) et plus,  et peut donc affecter environ 90% des appareils Android.

En ce qui concerne son efficacité à contourner  la 2FA, cette  technique spécifique à cependant des limites – les attaquants ne peuvent accéder aux textes qui correspondent au champ de texte de la notification et il n’est donc pas garanti que ce texte contienne l’OTP. Dans les SMS EFA, les messages sont généralement courts et les OTP peuvent très bien tenir dans le message de notification. Cependant, dans un mail 2FA, la longueur du message et son format sont bien plus variés, ce qui  peut avoir un impact  sur les données accessibles.

Valse crypotocurrency apps gebruiken nieuwe 2FA bypass-techiek om Google’s toestemmingsbeleid te omzeilen

Onderzoekers van  ESET hebben valse cryptocurrency  apps ontdekt die een tot dusver ongeziene techniek gebruiken om SMS-gebaseerde authenticatie met twee factoren (2FA) te omzeilen en de h en oproep log- machtigingen in Android apps in maart 2019 om te voorkomen dat opdringere apps  hen zouden misbruiken voor diverse onwettelijke doeleinden.

De apps “BTCTurk Pro Beta,” “BtcTurk Pro Beta” en “BTCTURK PRO” genaamd, eigen zich de naam toe van het Turkse cryptocurrency- wisselsysteem  en phishen naar inloggegevens van deze dienst.

In plaats van het onderscheppen van sms-berichten en zo de 2FA-bescherming  van de rekeningen en verrichtingen van gebruikers te omzeilen, gebruiken deze kwaadaardige apps het  eenmalig wachtwoord (OTP,  one –time password) van meldingen  die op het scherm van het gecompromitteerde toestel verschijnen.  Naast het lezen van de 2FA-meldingen, kunnen de apps ze ook negeren om te verhinderen dat slachtoffers de frauduleuze verrichtingen zouden opmerken. De drie apps werden in juni 2019 naar Google Play geüpload  en werden snel verwijderd na de verwittiging door ESET.

Eens de valse BtcTurk apps geïnstalleerd en opgestart, vragen ze een toestemming die Notification access wordt genoemd. De apps kunnen dan de meldingen lezen,  door andere apps op het toestel geplaatst, deze negeren of op knoppen klikken eigen aan deze apps.  Volgens de analyse van ESET zouden de aanvallers die achter deze apps zitten meer specifiek doelen op meldingen van sms- en mailapps. 

“Een van de positieve gevolgen van Google’s restricties uit maart 2019  is dat deze toepassingen, die identificeringsgegevens stelen, de mogelijkheid , hebben verloren om deze meldingen te misbruiken en zo de SMS-gebaseerde 2FA mechanismen te omzeilen.  Hoe dan ook, door het ontdekken van deze valse apps hebben we de eerste malware gezien die de beperking van de SMS-toestemming weet te omzeilen,” aldus Lukáš Štefanko, ESET Researcher, verantwoordelijk voort dit onderzoek.

De toestemming  werd geïntroduceerd in Android’s Jelly Bean versie 4.3, waardoor nagenoeg alle Android toestellen gevoelig zijn voor deze nieuwe techniek. De valse BtcTurk apps draaien op Android versie 5.0 (KitKat) en hoger. Ze kunnen dus ongeveer 90% van de Android toestellen beïnvloeden.

Wat de efficiëntie in het omzeilen van de 2FA betreft, heeft deze specifieke techniek toch zijn beperkingen.  Aanvallers  hebben slechts toegang tot de tekst  die in het tekstveld van de melding past en het is niet zeker dat de OTP in die tekst zit. In 2FA sms-berichten  zijn de berichten doorgaans kort en OTP’s zullen waarschijnlijk in het meldingsbericht passen. In 2FA mails, zijn lengte en formaat van het bericht meer gevarieerd  wat een impact kan hebben op de toegankelijke gegevens.  

Voor meer details kunt u het volledige document  van  Lukáš Štefanko lezen : Malware sidesteps Google permissions policy with new 2FA bypass technique,” op “WeLiveSecurity.com.”

Meer vernemen over het aanbod van ESET? Breng een bezoek aan https://www.eset.com/be-nl/