Malware de mineração infecta mercado móvel por meio de aplicativos do Google Play

O malware de mineração de Criptomoeda para plataformas de PC já existe há algum tempo, mas agora ele se tornou móvel, especificamente por meio do sistema operacional Android.

Uma equipe de pesquisadores de segurança da Trend Microconseguiu identificardois aplicativos que podem usar seu dispositivo Android parameu Litecoin e Dogecoin.

Os aplicativos em questão são chamados Songs e Prized, e ambos estão disponíveis na Google Play Store. O Songs tem entre um e cinco milhões de downloads até agora, enquanto o Prized tem de 10.000 a 50.000 downloads.

Este não é o primeiro caso de malware de mineração visando plataformas novas e incomuns. O Linux recentemente teve o que provavelmente foi seu primeiro gostinho demalware de mineraçãocom o verme Darlloz.

O ecossistema Android é BIT maior, mas atacá-lo é inútil do ponto de vista da mineração porque o hardware simplesmente T está à altura da tarefa.

Malware para a lua

Os pesquisadores identificaram o malware como ANDROIDOS_KAGECOIN.HBT, que já foi encontrado em cópias reembaladas de vários aplicativos populares, incluindo Football Manager Handheld e TuneIn Radio.

Os aplicativos foram injetados com código de mineração de CPU de um aplicativo de mineração Android legítimo, baseado emprocessador de CPU. Desta vez, o malware foi encontrado em aplicativos do Google Play, em vez de aplicativos reempacotados de lojas de aplicativos de terceiros.

A abordagem passiva do Google na verificação de aplicativos (ou a falta dela) provavelmente será responsabilizada pela confusão, mas, para ser justo, esta não seria a primeira vez que uma grande empresa de tecnologia seria usada para espalhar malware de Criptomoeda .

Na véspera de Ano Novo, os servidores europeus do Yahoo foram transferidos paraespalhar malware de mineraçãopara um grande número de PCs, mas o ataque parece ter sido limitado e relativamente malsucedido.

Uma vez instalada, essa cepa iniciou o CPUminer e se conectou a um domínio dinâmico, de onde foi redirecionada para um pool de mineração de Dogecoin anônimo.

A Trend Micro disse:

"Até 17 de fevereiro, sua rede de mineradores móveis lhe rendeu milhares de dogecoins. Depois de 17 de fevereiro, o cibercriminoso mudou os pools de mineração. O malware está configurado para baixar um arquivo, que contém as informações necessárias para atualizar a configuração do minerador. Este arquivo de configuração foi atualizado e agora se conecta ao conhecido pool de mineração WafflePool."

Os pesquisadores agora dizem que identificaram exatamente o mesmo comportamento em aplicativos baixados do Google Play. No momento da publicação, ambos os aplicativos ainda estavam disponíveis na loja de aplicativos do Google.

Desta vez, o minerador foi configurado para minerar litecoins em vez de dogecoins. No entanto, o foco estava inicialmente em dogecoins e os pesquisadores acreditam que o cibercriminoso por trás do malware "acumulou uma grande quantidade" de dogecoins.

Inteligente mas inútil

Embora esse ataque tenha infectado milhares de dispositivos, os pesquisadores parecem perplexos com o fato de que alguém decidiu tentar isso em primeiro lugar. Os smartphones simplesmente T têm poder de processamento suficiente para minerar criptomoedas de forma eficaz, e a duração da bateria é um problema adicional.

A Trend Micro destaca:

"Por mais inteligente que o ataque seja, quem o realizou pode não ter pensado bem nas coisas. Os telefones não têm desempenho suficiente para servir como mineradores eficazes. Os usuários também notarão rapidamente o comportamento estranho dos mineradores – carregamento lento e telefones excessivamente HOT serão vistos, tornando a presença do minerador não particularmente furtiva. Sim, eles podem ganhar dinheiro dessa forma, mas em um ritmo glacial."

A Trend Micro ressalta que há muitos sinais reveladores que apontam para uma infecção. CPUs em dispositivos móveis passaram muito tempo ociosas, então é relativamente fácil perceber que algo está errado.

A bateria descarrega rapidamente e recarrega lentamente, mas o calor é um sinal ainda maior. Como qualquer um que já foi viciado em jogos para celular sabe, telefones e tablets esquentam rapidamente mesmo depois de alguns minutos de jogo, pois o processador System-on-Chip (SoC) entra em alta velocidade e começa a operar nos clocks mais altos possíveis quando enfrenta muita carga.

Deve ser relativamente fácil descobrir se algum aplicativo está minerando em segundo plano. Usuários que por acaso notarem comportamento incomum em seus dispositivos, como um telefone HOT e bateria fraca, podem facilmente identificar o aplicativo responsável (vá para: Configurações > Bateria) e removê-lo.

Nem é preciso dizer que os dois aplicativos mencionados acima devem ser removidos do seu telefone imediatamente, caso você os tenha instalado.

Os SoCs baseados em ARM usados ​​na grande maioria dos dispositivos Android hoje simplesmente T têm a força para minerar criptomoedas. Eles são projetados para serem eficientes e operar dentro de envelopes térmicos e de energia rigorosos, necessários pelo tamanho do dispositivo e, claro, pela capacidade da bateria on-board.

Mesmo os mais recentes e poderosos processadores de aplicativos baseados em ARM usados ​​em smartphones e tablets Android de última geração, como o Snapdragon 800, Tegra 4 ou Exynos 5, T têm uma fração do poder de computação necessário para minerar moedas digitais em qualquer período de tempo sensato.

Em outras palavras, provavelmente T há muitos desenvolvedores de malware dispostos a perder tempo com mineração Android. O fato de alguém ter tentado não significa que outros Siga o exemplo, pois os retornos são simplesmente muito baixos.