A eficácia dos dispositivos móveis para produzir criptomoedas é ainda duvidosa. No entanto, os efeitos que atingem os usuários dos aparelhos afetados são claros: desgaste do dispositivo, redução de vida útil da bateria e desempenho notavelmente mais lento.
É o que mostra a recente descoberta da Trend Micro, descobriu aplicativos com capacidade de mineração de criptografia maliciosa no Google Play. Esses aplicativos usaram o carregamento dinâmico de JavaScript e a injeção de código nativo para evitar seu mapeamento.
Esta não é a primeira vez que a Trend Micro encontra aplicativos mal-intencionados em lojas como a Google Play. Um exemplo é o ANDROIDOS_KAGECOIN, uma família de malwares com capacidades ocultas de mineração de criptomoedas.
O que a Trend Micro constatou neste caso recente, são aplicativos usados para esse propósito, detectados como ANDROIDOS_JSMINER e ANDROIDOS_CPUMINER. Dois apps foram encontrados: um supostamente ajuda os usuários a rezar, enquanto o outro oferece descontos de vários tipos.
Ambas as amostras, são executadas da mesma maneira: carregam a biblioteca de códigos do JavaScript originada pelo Coinhive e iniciam a mineração com a chave de segurança do próprio site do atacante.
Este código JavaScript é executado durante a exibição do app na web, no entanto, não é visível para o usuário pois a visualização via web está programada para ser executada em modo invisível.
Quando o código malicioso do JavaScript é executado, a CPU torna-se extremamente sobrecarregada.
ANDROIDOS_CPUMINER: Versões trojan de apps legítimos
A família ANDROIDOS_CPUMINER utiliza versões legítimas de aplicativos e adds mineradores, que depois são redistribuídos. Uma versão deste malware no Google Play é distribuído disfarçadamente sob um anúncio de um aplicativo para fundo de tela.
O código de mineração aparentemente é uma versão modificada da cpuminer legítima e utiliza o código 2.5.1. O código é adicionado às aplicações normais, conforme observado abaixo:
O layout do código acima foi tirado de uma amostra que não é encontrada no Google Play, mas pertence à mesma família.
O código de mineração obtém um arquivo de configuração do próprio servidor do cibercriminoso (que usa um serviço de DNS dinâmico) e fornece informações em seu pool de mineração por meio do protocolo de mineração Stratum.
A figura acima mostra que o atacante faz a mineração de diversos tipos de criptomoedas com diferentes quantidades de moedas extraídas. Também mostra que o valor das moedas extraídas em um período desconhecido, equivale a pouco mais de 170 dólares americanos; os ganhos totais não são conhecidos.
A Trend Micro identificou um total de 25 amostras do ANDROIDOS_CPUMINER. Por meio do Trend Micro Mobile Security, a Trend Micro detectou variantes como a JSMINER, citada no início do texto.
Estas ameaças destacam como até mesmo dispositivo móveis podem ser usados para a mineração de criptomoedas. Apesar de, na prática, os esforços dos hackers resultarem em um lucro insignificante. Usuários devem notar qualquer degradação no funcionamento de seus dispositivos após instalar um aplicativo.
Em tempo: a Trend Micro notificou o Google, e os aplicativos mencionados neste texto já foram removidos da Google Play.
Os aplicativos abaixo foram encontrados na Google Play e foram relacionados a esta ameaça:
