Andy OS : l’émulateur Android minerait du Bitcoin à l’insu de ses utilisateurs

Publié le 18 juin 2018

Andy OS est un émulateur Android très populaire. Une popularité qui pourrait être entachée par la découverte faite par un utilisateur de Reddit. Sur la plateforme, l’utilisateur explique comment il s’est rendu compte que le logiciel minait de la cryptomonnaie en utilisant la carte graphique de son ordinateur.

Mise à jour du 02/07/2018 à 11h58 : AndyOS a publié une nouvelle version hors-ligne de son installeur. Ce dernier n’intègre pas de mineur de cryptomonnaie.

L’installeur d’Andy OS mis en cause ?

L’installeur d’Andy OS est identifié en tant qu’Adware par différents logiciels antivirus. Il suffit de se rendre sur le site VirusTotal ou de simplement lancer l’installation pour s’en rendre compte. Avant de télécharger et de copier les fichiers d’installation d’Andy OS sur votre ordinateur, l’installeur va vous proposer d’installer des logiciels tiers gratuits. Parmi les programmes proposés par l’installeur on peut citer une extension de recherche qui va se s’installer dans Chrome mais également des logiciels comme Winzip ou l’antivirus Avast.

Lawrence Abrams du site Bleeping Computer explique lui aussi avoir tenté l’installation de l’émulateur sur sa machine. Après avoir décliné les offres potentiellement indésirables proposées dans le logiciel pour installer Andy OS, il s’est rendu compte qu’un autre programme s’était malgré tout installé à son insu. Le logiciel mis en cause est localisé dans le répertoire suivant : C:\Program Files (x86)\Updater\updater.exe.

Si sur sa machine le logiciel a généré l’erreur suivante, sur notre machine de test, il n’y en a pas eu à l’exécution. Lorsque l’on soumet le fichier « updater.exe » à VirusTotal, ce programme est rapidement identifié en tant que logiciel de minage de cryptomonnaie. Pourquoi un émulateur Android utiliserait-il un mineur de cryptomonnaie ? 

En se rendant dans le répertoire d’AndyOS dans le dossier C:\Program Files (x86)\AndyOS on remarque également la présence d’un fichier GoogleUpdate.exe dans le dossier Update.

Malgré son nom, le logiciel est en réalité signé par Andy OS Inc.  La société à derrière l’émulateur. Lorsque l’on soumet le programme à Virustotal, il ne détecte rien d’anormal, mais il est tout de même étrange qu’Andy utilise un fichier exécutable du nom de GoogleUpdate. D’autant qu’à son exécution, aucune mise à jour de Google Chrome ou autre produit Google ne  se lance.

A l’heure où nous rédigeons cet article, Lawrence Abrams explique avoir contacté Andy OS Inc au sujet du mineur de Bitcoin et de ce fichier GoogleUpdate,  mais cette dernière ne lui aurait pas répondu et l’aurait même exclu de ses groupes de discussion.

Gardez néanmoins en tête que le programme de minage n’est pas compris dans l’installeur du programme. D’après les premières investigations de Bleeping Computer, Andy lui-même appellerait une adresse IP qui transférerait le mineur de bitcoin sur le système à l’insu de l’utilisateur.

Comment désinstaller Andy OS ?

Sur Reddit, Lawrence Abrams nous explique comment désinstaller Andy OS et son mineur. C’est assez simple :

• Rendez-vous dans un premier temps dans votre gestionnaire de tâche pour fermer tous les processus liés à Andy ou au mineur (GoogleUpdate, Andy OS Update). 
• Désinstallez l’émulateur Andy OS (via Windows).
• Rendez-vous dans C:\Program Files (x86)\ pour supprimer les dossier Updater et AndyOS. Vous effacerez ainsi les fichiers résiduels du programme.
• Lancez un Malwarebytes (la version gratuite fait amplement l’affaire).
• Enfin, supprimez les anciennes clés de registres d’Andy OS en utilisant un programme comme CCleaner.

Quelles alternatives à Andy OS ?

Il existe une pléiade d’émulateurs Android pouvant être utilisés comme alternatives à Andy OS. Parmi les plus populaires, il y a bien sûr Memu et Bluestacks, mais au vu de cette récente découverte, il convient de se montrer prudent à l’utilisation.

Pour une utilisation plus sûre, nous vous recommandons plutôt le portage open source d’Android sur PC baptisé Android-x86.

Source : Reddit