暗号通貨マイナーはGooglePlayストアにうまく潜入しました. 研究者は、暗号通貨マイニングに向けられた悪意のある機能を備えたアプリを発見しました. アプリは、セキュリティベンダーによる検出をバイパスするために、ネイティブコードインジェクションと組み合わせて動的なJavaScript読み込みを使用することが判明しました.
トレンドマイクロの研究者は、これらのアプリをAndroidos_JSMinerおよびAndroidos_CPUminerとして検出しました.
これらは、モバイルデバイスやアプリストアをターゲットとする暗号通貨マイナーの最初のケースではありません. 以前のそのような発見は、で検出された鉱夫の一部です 2014, ビットコインの支払いのためにドージコインとライトコインをマイニングするように設計されています. マルウェアはAndroidos_Kagecoinと呼ばれていました.
Androidos_JSMiner: よく見る
Coinhive JavaScript暗号通貨マイナーを提供するために、テクニカルサポート詐欺や侵害されたWebサイトが展開されています. 今回は, 研究者は2つのアプリを検出しました, Androidos_JSMinerマルウェアファミリーの一部, 同じ目的で使用.
2つのアプリが発見されました – 1つはおそらくユーザーが数珠を祈るのに役立ちます, もう一方はさまざまな割引を提供します, 研究者は説明します.
どちらのアプリも同じように機能します. デバイスにインストールしたら, 彼らはCoinhiveからJavaScriptライブラリをロードして、ハッカーのサイトキーでマイニングを開始します.
このマイナーをデバイスで実行している場合, CPU使用率が非常に高いことに気付くでしょう.
Androidos_CPUMiner: よく見る
これらのアプリは、マイニングライブラリを追加することで、正規バージョンのアプリを悪用します. その後、正規のアプリが再パッケージ化され、ユーザーに配布されます.
研究者は、GooglePlayで見つかったこのマルウェアの1つのバージョンの概要を説明することができました, 壁紙アプリケーションを装った.
マイニングコードは、正規のcpuminerライブラリの修正バージョンである可能性があります. 正当なバージョンは最大です 2.5.0, 一方、この悪意のあるバージョンは 2.5.1, 研究者 指摘する.
マイニングコードは、サイバー犯罪者自身のサーバーから構成ファイルをフェッチします (ダイナミックDNSサービスを使用します) Stratumマイニングプロトコルを介してマイニングプールに関する情報を提供します.
研究チームは特定しました 25 Androidos_CPUMinerのサンプル.
結論は, このようなマルウェアのサンプルは、モバイルデバイスを暗号通貨マイニングの目標に利用する方法を示しています, モバイルマイニングの利益が不十分であるにもかかわらず.
また, Androidユーザーは、インストールされているアプリに細心の注意を払う必要があります, 特にアプリのインストール後にデバイスが劣化した場合.
この記事に記載されているアプリはGooglePlayで利用できなくなりましたが、すぐに他のアプリに置き換えられる可能性があります. だから目を光らせて!