Apps na Google Play escondem mineradores de Bitcoin

Hackers utilizam código do JavaScript para executarem mineração de criptomoeda, operando em modo invisível e sobrecarregando CPU de smartphones

Compartilhar:

A eficácia dos dispositivos móveis para produzir criptomoedas é ainda duvidosa. No entanto, os efeitos que atingem os usuários dos aparelhos afetados são claros: desgaste do dispositivo, redução de vida útil da bateria e desempenho notavelmente mais lento.

 

É o que mostra a recente descoberta da Trend Micro, descobriu aplicativos com capacidade de mineração de criptografia maliciosa no Google Play. Esses aplicativos usaram o carregamento dinâmico de JavaScript e a injeção de código nativo para evitar seu mapeamento.

 

Esta não é a primeira vez que a Trend Micro encontra aplicativos mal-intencionados em lojas como a Google Play. Um exemplo é o ANDROIDOS_KAGECOIN, uma família de malwares com capacidades ocultas de mineração de criptomoedas.

 

O que a Trend Micro constatou neste caso recente, são aplicativos usados para esse propósito, detectados como ANDROIDOS_JSMINER e ANDROIDOS_CPUMINER. Dois apps foram encontrados: um supostamente ajuda os usuários a rezar, enquanto o outro oferece descontos de vários tipos.

 

Malware JSMINER na Google Play (Divulgação)

 

Ambas as amostras, são executadas da mesma maneira: carregam a biblioteca de códigos do JavaScript originada pelo Coinhive e iniciam a mineração com a chave de segurança do próprio site do atacante.

 

Código para início de execução do aplicativo de mineração (Divulgação)

 

Este código JavaScript é executado durante a exibição do app na web, no entanto, não é visível para o usuário pois a visualização via web está programada para ser executada em modo invisível.

 

Quando o código malicioso do JavaScript é executado, a CPU torna-se extremamente sobrecarregada.

 

ANDROIDOS_CPUMINER: Versões trojan de apps legítimos

 

A família ANDROIDOS_CPUMINER utiliza versões legítimas de aplicativos e adds mineradores, que depois são redistribuídos. Uma versão deste malware no Google Play é distribuído disfarçadamente sob um anúncio de um aplicativo para fundo de tela.

 

Malware minerador na loja Google Play (Divulgação)

 

O código de mineração aparentemente é uma versão modificada da cpuminer legítima e utiliza o código 2.5.1. O código é adicionado às aplicações normais, conforme observado abaixo:

 

Códigos adicionados a apps tradicionais pela CPUMINER (Divulgação)

 

O layout do código acima foi tirado de uma amostra que não é encontrada no Google Play, mas pertence à mesma família.

 

O código de mineração obtém um arquivo de configuração do próprio servidor do cibercriminoso (que usa um serviço de DNS dinâmico) e fornece informações em seu pool de mineração por meio do protocolo de mineração Stratum.

 

Lucros de mineração da criptomoeda (Divulgação)

 

A figura acima mostra que o atacante faz a mineração de diversos tipos de criptomoedas com diferentes quantidades de moedas extraídas. Também mostra que o valor das moedas extraídas em um período desconhecido, equivale a pouco mais de 170 dólares americanos; os ganhos totais não são conhecidos.

 

A Trend Micro identificou um total de 25 amostras do ANDROIDOS_CPUMINER. Por meio do Trend Micro Mobile Security, a Trend Micro detectou variantes como a JSMINER, citada no início do texto.

 

Estas ameaças destacam como até mesmo dispositivo móveis podem ser usados para a mineração de criptomoedas. Apesar de, na prática, os esforços dos hackers resultarem em um lucro insignificante. Usuários devem notar qualquer degradação no funcionamento de seus dispositivos após instalar um aplicativo.

 

Em tempo: a Trend Micro notificou o Google, e os aplicativos mencionados neste texto já foram removidos da Google Play.

 

Os aplicativos abaixo foram encontrados na Google Play e foram relacionados a esta ameaça:

 

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

TRE da Bahia protege sistemas com jornada Zero Trust

O Tribunal Regional Eleitoral adotou o modelo Zero Trust em parceria com a Cisco, implementando estratégias de MFA com...
Security Report | Destaques

ATUALIZADO: Linha do tempo destaca ataques mais recentes

Painel de incidentes foi atualizado com os casos envolvendo a TV Justiça, a Sociedade Esportiva Palmeiras, o Porto de Santos,...
Security Report | Destaques

Regulação da IA: Brasil deve seguir projeto próprio de governança?

Debate voltou aos holofotes com o questionamento se os países devem investir especificamente em regulações que levem em consideração a...
Security Report | Destaques

Ataque cibernético impacta serviços da Unimed 

Em nota, a cooperativa do Vale do Taquari e Rio Pardo afirmou que investiga o incidente cibernético ocorrido nesta terça-feira...