Les chercheurs de Cyble Research and Intelligence Labs ont signalé l'apparition d'un nouveau virus Android dangereux, baptisé MiningDropper, qui évolue rapidement au-delà du simple minage de cryptomonnaies. Initialement conçu comme un outil de minage cryptographique discret, il est désormais devenu une plateforme complète pour diffuser diverses menaces. Son architecture lui permet de contourner les systèmes d'analyse et de détection, ce qui le rend particulièrement dangereux.
La principale caractéristique de MiningDropper réside dans son schéma complexe et multi-étapes pour charger du code malveillant. Il utilise des méthodes d'obfuscation avancées, incluant l'obfuscation XOR, le chiffrement AES, le chargement dynamique de composants et une protection anti-émulation. Cela permet au malware de masquer ses véritables fonctions durant les premières phases de l'infection.
Les éléments clés du programme malveillant ne sont pas stockés explicitement sur l'appareil ; ils sont déployés directement en mémoire. Cette approche complique considérablement l'analyse et la détection des menaces.
La distribution se produit également à l'insu de l'utilisateur. Dans un cas, les attaquants ont utilisé une version modifiée de l'application open-source Lumolight. Bien qu'elle semble être une application utilitaire normale, elle cache un mécanisme de chargement de malware. L'utilisateur accorde à l'application les permissions nécessaires, ouvrant ainsi l'accès au système.
Après l'installation, MiningDropper analyse l'appareil et décide quelle charge utile activer. Cela peut être du minage caché ou des scénarios plus graves, incluant le vol de données ou d'autres types d'attaques.
Les experts soulignent que MiningDropper ne peut plus être considéré comme un simple mineur. Il s'agit d'un outil flexible et modulaire qui permet aux attaquants de changer rapidement de cibles d'attaque sans avoir à réécrire complètement l'infrastructure malveillante.