Apps na Google Play escondem mineradores de Bitcoin

Hackers utilizam código do JavaScript para executarem mineração de criptomoeda, operando em modo invisível e sobrecarregando CPU de smartphones

Compartilhar:

A eficácia dos dispositivos móveis para produzir criptomoedas é ainda duvidosa. No entanto, os efeitos que atingem os usuários dos aparelhos afetados são claros: desgaste do dispositivo, redução de vida útil da bateria e desempenho notavelmente mais lento.

 

É o que mostra a recente descoberta da Trend Micro, descobriu aplicativos com capacidade de mineração de criptografia maliciosa no Google Play. Esses aplicativos usaram o carregamento dinâmico de JavaScript e a injeção de código nativo para evitar seu mapeamento.

 

Esta não é a primeira vez que a Trend Micro encontra aplicativos mal-intencionados em lojas como a Google Play. Um exemplo é o ANDROIDOS_KAGECOIN, uma família de malwares com capacidades ocultas de mineração de criptomoedas.

 

O que a Trend Micro constatou neste caso recente, são aplicativos usados para esse propósito, detectados como ANDROIDOS_JSMINER e ANDROIDOS_CPUMINER. Dois apps foram encontrados: um supostamente ajuda os usuários a rezar, enquanto o outro oferece descontos de vários tipos.

 

Malware JSMINER na Google Play (Divulgação)

 

Ambas as amostras, são executadas da mesma maneira: carregam a biblioteca de códigos do JavaScript originada pelo Coinhive e iniciam a mineração com a chave de segurança do próprio site do atacante.

 

Código para início de execução do aplicativo de mineração (Divulgação)

 

Este código JavaScript é executado durante a exibição do app na web, no entanto, não é visível para o usuário pois a visualização via web está programada para ser executada em modo invisível.

 

Quando o código malicioso do JavaScript é executado, a CPU torna-se extremamente sobrecarregada.

 

ANDROIDOS_CPUMINER: Versões trojan de apps legítimos

 

A família ANDROIDOS_CPUMINER utiliza versões legítimas de aplicativos e adds mineradores, que depois são redistribuídos. Uma versão deste malware no Google Play é distribuído disfarçadamente sob um anúncio de um aplicativo para fundo de tela.

 

Malware minerador na loja Google Play (Divulgação)

 

O código de mineração aparentemente é uma versão modificada da cpuminer legítima e utiliza o código 2.5.1. O código é adicionado às aplicações normais, conforme observado abaixo:

 

Códigos adicionados a apps tradicionais pela CPUMINER (Divulgação)

 

O layout do código acima foi tirado de uma amostra que não é encontrada no Google Play, mas pertence à mesma família.

 

O código de mineração obtém um arquivo de configuração do próprio servidor do cibercriminoso (que usa um serviço de DNS dinâmico) e fornece informações em seu pool de mineração por meio do protocolo de mineração Stratum.

 

Lucros de mineração da criptomoeda (Divulgação)

 

A figura acima mostra que o atacante faz a mineração de diversos tipos de criptomoedas com diferentes quantidades de moedas extraídas. Também mostra que o valor das moedas extraídas em um período desconhecido, equivale a pouco mais de 170 dólares americanos; os ganhos totais não são conhecidos.

 

A Trend Micro identificou um total de 25 amostras do ANDROIDOS_CPUMINER. Por meio do Trend Micro Mobile Security, a Trend Micro detectou variantes como a JSMINER, citada no início do texto.

 

Estas ameaças destacam como até mesmo dispositivo móveis podem ser usados para a mineração de criptomoedas. Apesar de, na prática, os esforços dos hackers resultarem em um lucro insignificante. Usuários devem notar qualquer degradação no funcionamento de seus dispositivos após instalar um aplicativo.

 

Em tempo: a Trend Micro notificou o Google, e os aplicativos mencionados neste texto já foram removidos da Google Play.

 

Os aplicativos abaixo foram encontrados na Google Play e foram relacionados a esta ameaça:

 

 

Conteúdos Relacionados

Security Report | Destaques

Apagão Cibernético trouxe novo risco: o parceiro de tecnologia

Considerado o segundo maior evento de impacto global na cibersegurança, esse incidente revelou lacunas na maturidade cibernética e na preparação...
Security Report | Destaques

PM de São Paulo investiga invasão ao Centro de Operações Online

Um grupo de cibercriminosos teria acessado o sistema de inteligência da corporação, possibilitando a interação com dados dos agentes e...
Security Report | Destaques

“Pessoas são o cerne da Segurança, mas conscientização ainda não é prioridade”, diz Glauco Sampaio

O CISO advisor assumiu a posição de CEO e Co-fundador da BeePhish este ano, com o objetivo de liderar uma...
Security Report | Destaques

Ransomware paralisa Lojas Marisa

Incidente iniciou-se no começo dessa semana, quando o site oficial da rede varejista foi substituído por um alerta de manutenção...