Зловмисне програмне забезпечення для майнінгу заражає мобільний ринок через програми Google Play

Зловмисне програмне забезпечення для майнінгу Криптовалюта для платформ ПК існує вже деякий час, але тепер воно стало мобільним, зокрема через ОС Android.

Команда дослідників безпеки з Trend Micro має вдалося ідентифікувати дві програми, які можуть використовувати ваш пристрій Android для моя Litecoin і Dogecoin.

Програми, про які йде мова, називаються Songs і Prised, і обидві доступні в Google Play Store. Наразі Songs має від ONE до п’яти мільйонів завантажень, тоді як Prised має від 10 000 до 50 000 завантажень.

Це не перший випадок видобутку зловмисного програмного забезпечення, націленого на нові та незвичні платформи. Linux нещодавно отримав те, що, ймовірно, вперше спробував видобуток шкідливих програм з хробаком Darlloz.

Екосистема Android BIT більша, але орієнтуватися на неї безглуздо з точки зору майнінгу, оскільки апаратне забезпечення просто T підходить для роботи.

Зловмисне програмне забезпечення до місяця

Дослідники ідентифікували зловмисне програмне забезпечення як ANDROIDOS_KAGECOIN.HBT, яке раніше було знайдено в перепакованих копіях кількох популярних програм, включаючи Football Manager Handheld і TuneIn Radio.

Програми були введені з кодом майнінгу ЦП із законної програми для майнінгу Android на основі cpuminer. Цього разу зловмисне програмне забезпечення було знайдено в програмах Google Play, а не в перепакованих програмах зі сторонніх магазинів додатків.

Безладний підхід Google до перевірки додатків (або його відсутність), ймовірно, буде звинувачений у безладі, але чесно кажучи, це не перший випадок, коли велику технологічну фірму використовують для поширення зловмисного програмного забезпечення для Криптовалюта .

У новорічну ніч європейські сервери Yahoo були підключені розповсюдження шкідливих програм для майнінгу на велику кількість комп’ютерів, але атака, здається, була обмеженою та відносно невдалою.

Після встановлення цей штам запускав CPUminer і підключався до динамічного домену, звідки перенаправлявся в анонімний пул майнінгу Dogecoin .

Trend Micro сказав:

«До 17 лютого його мережа мобільних майнерів заробила йому тисячі доджкойнів. Після 17 лютого кіберзлочинець змінив пули майнінгу. Зловмисне програмне забезпечення налаштовано на завантаження файлу, який містить інформацію, необхідну для оновлення конфігурації майнера. Цей файл конфігурації було оновлено, і тепер він підключається до відомого пулу майнінгу WafflePool».

Тепер дослідники кажуть, що вони виявили точно таку ж поведінку в програмах, завантажених із Google Play. На момент преси обидві програми все ще були доступні в магазині програм Google.

Цього разу майнер налаштовано на видобуток лайткойнів, а не доджкойнів. Однак спочатку у центрі уваги були доджкойни, і дослідники вважають, що кіберзлочинець, який стоїть за шкідливим програмним забезпеченням, «накопичив багато» доджкойнів.

Розумно, але безглуздо

Незважаючи на те, що ця атака заразила багато тисяч пристроїв, дослідники, здається, збентежені тим фактом, що хтось вирішив її спробувати. Смартфони просто T мають достатньої обчислювальної потужності для ефективного майнінгу криптовалют, а час автономної роботи є додатковою проблемою.

Trend Micro зазначає:

«Якою б хитрою була атака, той, хто її здійснив, міг не продумати все добре. Телефони не мають достатньої продуктивності, щоб служити ефективними майнерами. Користувачі також швидко помітять дивну поведінку майнерів – усі вони будуть помічені, як повільна зарядка та надмірно HOT телефони, що робить присутність майнерів не особливо прихованою. Так, вони можуть заробляти гроші таким чином, але швидко».

Trend Micro зазначає, що існує багато ознак, які вказують на інфекцію. Процесори мобільних пристроїв проводили значну частину часу в режимі простою, тому відносно легко помітити, що щось не так.

Акумулятор швидко розряджається і повільно заряджається, але тепло — ще більше. Усі, хто коли-небудь захоплювався мобільними іграми, знають, що телефони та планшети швидко нагріваються навіть після кількох хвилин гри, оскільки процесор System-on-Chip (SoC) починає працювати на максимально можливих тактових частотах під час великого навантаження.

Має бути відносно легко з’ясувати, чи якась програма займається майнінгом у фоновому режимі. Користувачі, які випадково помітили незвичайну поведінку своїх пристроїв, наприклад HOT телефон і низький заряд батареї, можуть легко визначити відповідну програму (перейдіть до: Налаштування > Акумулятор) і видалити її.

Само собою зрозуміло, що два згадані вище додатки слід негайно видалити з вашого телефону, якщо вони у вас встановлені.

SoC на базі ARM, які сьогодні використовуються в переважній більшості пристроїв Android, просто T вистачає для майнінгу криптовалют. Вони розроблені таким чином, щоб бути ефективними та працювати в суворих теплових і енергетичних зонах, що вимагається розміром пристрою і, звичайно, ємністю бортової батареї.

Навіть найновіші та найпотужніші процесори додатків на базі ARM, які використовуються у високоякісних смартфонах і планшетах Android, такі як Snapdragon 800, Tegra 4 або Exynos 5, T мають і частки обчислювальної потужності, необхідної для майнінгу цифрових валют за будь-який розумний проміжок часу.

Іншими словами, ймовірно, T так багато розробників шкідливого ПЗ, які готові витрачати час на майнінг Android. Той факт, що хтось спробував це, не означає, що інші Соціальні мережі його приклад, оскільки віддача просто надто низька.