Il malware di mining infetta il mercato mobile tramite le app di Google Play

I malware per il mining Criptovaluta su piattaforme PC sono in circolazione da un po', ma ora sono diventati dispositivi mobili, in particolare tramite il sistema operativo Android.

Un team di ricercatori sulla sicurezza di Trend Micro hariuscito a identificaredue app che possono utilizzare il tuo dispositivo Android permio Litecoin e Dogecoin.

Le app in questione si chiamano Songs e Prized, ed entrambe sono disponibili sul Google Play Store. Songs ha finora raggiunto tra ONE e cinque milioni di download, mentre Prized ne ha tra 10.000 e 50.000.

Questo non è il primo caso di malware di mining che prende di mira piattaforme nuove e insolite. Linux ha recentemente avuto quello che è stato probabilmente il suo primo assaggio dimalware di data miningcon il verme Darlloz.

L'ecosistema Android è BIT più grande, ma dal punto di vista del mining è piuttosto inutile prenderlo di mira perché l'hardware semplicemente T è all'altezza del compito.

Malware sulla luna

I ricercatori hanno identificato il malware come ANDROIDOS_KAGECOIN.HBT, precedentemente trovato in copie riconfezionate di numerose app popolari, tra cui Football Manager Handheld e TuneIn Radio.

Le app sono state iniettate con codice di mining CPU da un'app di mining Android legittima, basata suminatore di CPUQuesta volta il malware è stato trovato nelle app di Google Play, anziché in app riconfezionate da app store di terze parti.

La causa di questo pasticcio sarà probabilmente l'approccio non interventista di Google nei confronti dei controlli delle app (o la sua mancanza), ma per essere onesti questa non sarebbe la prima volta che una grande azienda tecnologica viene utilizzata per diffondere malware Criptovaluta .

Alla vigilia di Capodanno, i server europei di Yahoo sono stati collegati adiffondere malware di mininga un gran numero di PC, ma l'attacco sembra essere stato limitato e relativamente infruttuoso.

Una volta installato, questo ceppo ha avviato CPUminer e si è connesso a un dominio dinamico, dove è stato reindirizzato a un pool di mining Dogecoin anonimo.

Trend Micro ha affermato:

"Entro il 17 febbraio, la sua rete di minatori mobili gli ha fatto guadagnare migliaia di dogecoin. Dopo il 17 febbraio, il criminale informatico ha cambiato pool di mining. Il malware è configurato per scaricare un file, che contiene le informazioni necessarie per aggiornare la configurazione del miner. Questo file di configurazione è stato aggiornato e ora si connette al noto pool di mining WafflePool."

I ricercatori ora affermano di aver identificato esattamente lo stesso comportamento nelle app scaricate da Google Play. Al momento della stampa, entrambe le app erano ancora disponibili sull'app store di Google.

Questa volta, il miner è stato configurato per estrarre litecoin anziché dogecoin. Tuttavia, inizialmente l'attenzione era rivolta ai dogecoin e i ricercatori ritengono che il criminale informatico dietro il malware "abbia accumulato una grande quantità" di dogecoin.

Intelligente ma inutile

Sebbene questo attacco abbia infettato migliaia di dispositivi, i ricercatori sembrano sconcertati dal fatto che qualcuno abbia scelto di provarci in primo luogo. Gli smartphone semplicemente T hanno abbastanza potenza di elaborazione per estrarre criptovalute in modo efficace e la durata della batteria è un ulteriore problema.

Trend Micro sottolinea:

"Per quanto l'attacco sia intelligente, chiunque lo abbia eseguito potrebbe non aver pensato bene alle cose. I telefoni non hanno prestazioni sufficienti per fungere da miner efficaci. Gli utenti noteranno anche rapidamente lo strano comportamento dei miner: si noteranno carica lenta e telefoni eccessivamente HOT , il che rende la presenza del miner non particolarmente furtiva. Sì, possono guadagnare soldi in questo modo, ma a un ritmo glaciale."

Trend Micro sottolinea che ci sono molti segnali rivelatori che indicano un'infezione. Le CPU nei dispositivi mobili trascorrono gran parte del loro tempo inattive, quindi è relativamente facile notare che qualcosa non va.

La batteria si scarica rapidamente e si ricarica lentamente, ma il calore è un indizio ancora più grande. Come sa chiunque sia mai stato dipendente dai giochi per dispositivi mobili, telefoni e tablet si riscaldano rapidamente anche dopo pochi minuti di gioco, poiché il processore System-on-Chip (SoC) entra in modalità a pieno regime e inizia a funzionare ai clock più elevati possibili quando si trova di fronte a un carico elevato.

Dovrebbe essere relativamente facile scoprire se un'app sta eseguendo il mining in background. Gli utenti che notano un comportamento insolito sui loro dispositivi, come un telefono HOT e una batteria scarica, possono facilmente identificare l'app responsabile (vai su: Impostazioni > Batteria) e rimuoverla.

Inutile dire che le due app sopra menzionate dovrebbero essere rimosse immediatamente dal telefono, se le avete installate.

I SoC basati su ARM utilizzati nella stragrande maggioranza dei dispositivi Android odierni semplicemente T hanno la potenza per estrarre criptovalute. Sono progettati per essere efficienti e funzionare entro rigidi limiti termici e di potenza, resi necessari dalle dimensioni del dispositivo e, naturalmente, dalla capacità della batteria di bordo.

Persino i più recenti e potenti processori applicativi basati su ARM utilizzati negli smartphone e nei tablet Android di fascia alta, come Snapdragon 800, Tegra 4 o Exynos 5, T hanno neanche una frazione della potenza di calcolo necessaria per estrarre valute digitali in un lasso di tempo ragionevole.

In altre parole, probabilmente T ci sono molti sviluppatori di malware disposti a perdere tempo nel mining di Android. Il fatto che qualcuno ci abbia provato non significa che altri Seguici l'esempio, poiché i profitti sono semplicemente troppo bassi.