Converge Comunicações -

RSS Feed Compartilhe TI INSIDE Online no Facebook Compartilhe TI INSIDE Online no Twitter Compartilhe TI INSIDE Online no Google+ Compartilhe TI INSIDE Online no Linkedin

Trend Micro detecta malware minerador de bitcoin disfarçado sob apps legítimos na Google Play

Postado em: 31/10/2017, às 01:01 por Redação

A eficácia dos dispositivos móveis para produzir criptomoedas é ainda duvidosa. No entanto, os efeitos que atingem os usuários dos aparelhos afetados são claros: desgaste do dispositivo, redução de vida útil da bateria e desempenho notavelmente mais lento. A Trend Micro descobriu aplicativos com capacidade de mineração de criptografia maliciosa no Google Play. Esses aplicativos usaram o carregamento dinâmico de JavaScript e a injeção de código nativo para evitar seu mapeamento.

Esta não é a primeira vez que a Trend Micro encontra aplicativos mal-intencionados em lojas como a Google Play. Um exemplo é o ANDROIDOS_KAGECOIN, uma família de malwares com capacidades ocultas de mineração de criptomoedas.

O que a Trend Micro constatou neste caso recente, são aplicativos usados para esse propósito, detectados como ANDROIDOS_JSMINER e ANDROIDOS_CPUMINER. Dois apps foram encontrados: um supostamente ajuda os usuários a rezar, enquanto o outro oferece descontos de vários tipos.

Malware JSMINER na Google Play

Ambas as amostras, são executadas da mesma maneira: carregam a biblioteca de códigos do JavaScript originada pelo Coinhive e iniciam a mineração com a chave de segurança do próprio site do atacante.

Código para início de execução do aplicativo de mineração

Este código JavaScript é executado durante a exibição do app na web, no entanto, não é visível para o usuário pois a visualização via web está programada para ser executada em modo invisível.

Quando o código malicioso do JavaScript é executado, a CPU torna-se extremamente sobrecarregada.

ANDROIDOS_CPUMINER: Versões trojan de apps legítimos

A família ANDROIDOS_CPUMINER utiliza versões legítimas de aplicativos e adds mineradores, que depois são redistribuídos. Uma versão deste malware no Google Play é distribuído disfarçadamente sob um anúncio de um aplicativo para fundo de tela.

Malware minerador na loja Google Play

O código de mineração aparentemente é uma versão modificada da cpuminer legítima e utiliza o código 2.5.1. O código é adicionado às aplicações normais, conforme observado abaixo:

Códigos adicionados a apps tradicionais pela CPUMINER

O layout do código acima foi tirado de uma amostra que não é encontrada no Google Play, mas pertence à mesma família.

O código de mineração obtém um arquivo de configuração do próprio servidor do cibercriminoso (que usa um serviço de DNS dinâmico) e fornece informações em seu pool de mineração por meio do protocolo de mineração Stratum.

Lucros de mineração da criptomoeda

?A figura acima mostra que o atacante faz a mineração de diversos tipos de criptomoedas com diferentes quantidades de moedas extraídas. Também mostra que o valor das moedas extraídas em um período desconhecido, equivale a pouco mais de 170 dólares americanos; os ganhos totais não são conhecidos.

A Trend Micro identificou um total de 25 amostras do ANDROIDOS_CPUMINER. Por meio do Trend Micro Mobile Security, a Trend Micro detectou variantes como a JSMINER, citada no início do texto.

Estas ameaças destacam como até mesmo dispositivo móveis podem ser usados para a mineração de criptomoedas. Apesar de, na prática, os esforços dos hackers resultarem em um lucro insignificante. Usuários devem notar qualquer degradação no funcionamento de seus dispositivos após instalar um aplicativo.

Em tempo: a Trend Micro notificou o Google, e os aplicativos mencionados neste texto já foram removidos da Google Play.

Os aplicativos abaixo foram encontrados na Google Play e foram relacionados a esta ameaça:

 

Tags: , , , ,

0 Comentários

Deixe o seu comentário!

Nome (obrigatório)

E-mail (não será mostrado) (obrigatório)

Website

Mensagem (obrigatório)



Top