Вредоносное ПО для майнинга заражает мобильный рынок через приложения Google Play

Вредоносное ПО для майнинга Криптовалюта для ПК существует уже некоторое время, но теперь оно стало доступно и на мобильных устройствах, в частности, на ОС Android.

Группа исследователей безопасности из Trend Microудалось идентифицироватьдва приложения, которые могут использовать ваше Android-устройство длямой Litecoin и Dogecoin.

Приложения, о которых идет речь, называются Songs и Prized, и оба доступны в Google Play Store. Songs имеет от ONE до пяти миллионов загрузок на данный момент, в то время как Prized имеет от 10 000 до 50 000 загрузок.

Это не первый случай майнинга вредоносного ПО, нацеленного на новые и необычные платформы. Linux недавно получил то, что, вероятно, было его первым опытомвредоносное ПО для майнинга с червем Дарллозом.

Экосистема Android BIT больше, но ориентироваться на нее с точки зрения майнинга бессмысленно, поскольку аппаратное обеспечение просто T справляется с этой задачей.

Вредоносное ПО на Луну

Исследователи идентифицировали вредоносное ПО как ANDROIDOS_KAGECOIN.HBT, которое ранее было обнаружено в переупакованных копиях нескольких популярных приложений, включая Football Manager Handheld и TuneIn Radio.

В приложения был внедрен код майнинга CPU из легитимного приложения для майнинга Android, основанный наcpuminerНа этот раз вредоносное ПО было обнаружено в приложениях Google Play, а не в переупакованных приложениях из сторонних магазинов приложений.

Вероятно, вину за беспорядок возложат на невмешательство Google в процесс проверки приложений (или на его отсутствие), но, справедливости ради, это не первый случай, когда крупная технологическая компания была использована для распространения вредоносного ПО для Криптовалюта .

В канун Нового года европейские серверы Yahoo были подключены краспространение вредоносного ПО для майнинга на большое количество ПК, но атака, по-видимому, была ограниченной и относительно безуспешной.

После установки этот штамм запустил CPUminer и подключился к динамическому домену, где был перенаправлен на анонимный пул майнинга Dogecoin .

Trend Micro сказал:

«К 17 февраля его сеть мобильных майнеров принесла ему тысячи догикоинов. После 17 февраля киберпреступник сменил пулы майнинга. Вредоносная программа настроена на загрузку файла, который содержит информацию, необходимую для обновления конфигурации майнера. Этот файл конфигурации был обновлен, и теперь он подключается к известному пулу майнинга WafflePool».

Исследователи теперь говорят, что они обнаружили точно такое же поведение в приложениях, загруженных из Google Play. На момент публикации оба приложения все еще были доступны в магазине приложений Google.

На этот раз майнер был настроен на майнинг litecoins, а не dogecoins. Однако изначально основное внимание уделялось dogecoins, и исследователи полагают, что киберпреступник, стоящий за вредоносным ПО, «накопил много» dogecoins.

Умно, но бессмысленно

Хотя эта атака заразила многие тысячи устройств, исследователи, похоже, озадачены тем фактом, что кто-то вообще решился на это. Смартфоны просто T обладают достаточной вычислительной мощностью для эффективного майнинга криптовалют, а время работы батареи является еще одной проблемой.

Trend Micro отмечает:

«Как бы хитроумна ни была атака, тот, кто ее осуществил, мог не продумать все до конца. Телефоны не обладают достаточной производительностью, чтобы служить эффективными майнерами. Пользователи также быстро заметят странное поведение майнеров — медленная зарядка и чрезмерно HOT телефоны будут видны, что делает присутствие майнера не особенно скрытным. Да, они могут зарабатывать деньги таким образом, но очень медленно».

Trend Micro отмечает, что существует множество явных признаков, указывающих на заражение. Процессоры мобильных устройств большую часть времени простаивают, поэтому заметить, что что-то не так, довольно легко.

Аккумулятор быстро разряжается и медленно заряжается, но тепло — еще более значимый показатель. Как знает любой, кто когда-либо увлекался мобильными играми, телефоны и планшеты быстро нагреваются даже после нескольких минут игры, так как процессор System-on-Chip (SoC) включается на полную мощность и начинает работать на максимально возможных частотах, когда сталкивается с большой нагрузкой.

Должно быть относительно легко определить, занимается ли какое-либо приложение майнингом в фоновом режиме. Пользователи, которые замечают необычное поведение на своих устройствах, например, HOT телефона и низкий заряд батареи, могут легко определить ответственное приложение (перейдите в: Настройки > Батарея) и удалить его.

Само собой разумеется, что два вышеупомянутых приложения следует немедленно удалить с вашего телефона, если они у вас установлены.

SoC на базе ARM, используемые в подавляющем большинстве Android-устройств сегодня, просто T обладают достаточной мощностью для майнинга криптовалют. Они разработаны для эффективной работы и работы в строгих температурных и энергетических рамках, обусловленных размером устройства и, конечно же, емкостью встроенной батареи.

Даже новейшие и самые мощные процессоры приложений на базе ARM, используемые в высококлассных смартфонах и планшетах Android, такие как Snapdragon 800, Tegra 4 или Exynos 5, T обладают и малой долей вычислительной мощности, необходимой для добычи цифровых валют за разумное время.

Другими словами, вероятно, T так много разработчиков вредоносных программ, которые готовы тратить время на майнинг Android. Тот факт, что кто-то попробовал это сделать, не означает, что другие Социальные сети его примеру, поскольку отдача просто слишком мала.