Cryptogeld mijnwerkers hebben met succes geslopen in de Google Play Store. Onderzoekers hebben apps met kwaadaardige mogelijkheden gericht cryptogeld mijnbouw gevonden. De apps bleken dynamische JavaScript het laden gebruiken in combinatie met native code injectie te omzeilen detectie door leveranciers van beveiligingsoplossingen.
TrendMicro onderzoekers hebben deze apps als Androidos_JSMiner en Androidos_CPUminer gedetecteerd.
Dit zijn niet de eerste gevallen van cryptogeld mijnwerkers targeting mobiele apparaten en app stores. Een eerdere dergelijke bevinding is een stuk miner gedetecteerd 2014, ontworpen om de mijne Dogecoins en Litecoins voor Bitcoin uitbetaling. De malware werd gesynchroniseerd Androidos_Kagecoin.
Androidos_JSMiner: Onder de loep
Er zijn technische ondersteuning oplichting en geïnfecteerde websites ingezet om de Coinhive JavaScript cryptogeld mijnwerker leveren geweest. Deze keer, onderzoekers ontdekt twee apps, een deel van de Androidos_JSMiner malware familie, gebruikt voor hetzelfde doel.
Twee apps werden ontdekt – een zogenaamd helpt gebruikers bidden van de rozenkrans, terwijl de andere biedt diverse kortingen, onderzoekers verklaren.
Beide apps werken op dezelfde manier. Eenmaal geïnstalleerd op een apparaat, laden ze de JavaScript-bibliotheek van Coinhive de mijnbouw met de hacker website key beginnen.
Als u over deze mijnwerker die op het toestel, zou je merken dat het CPU-gebruik is extreem hoog.
Androidos_CPUMiner: Onder de loep
Deze apps exploiteren legitieme versies van apps door het toevoegen van de mijnbouw bibliotheken om ze. De legitieme apps worden vervolgens opnieuw verpakt en gedistribueerd aan gebruikers.
De onderzoekers waren in staat om een versie van deze malware te vinden in Google Play schetsen, vermomd als achtergrond applicatie.
De mijnbouw-code is het meest waarschijnlijk een aangepaste versie van de legitieme cpuminer bibliotheek. De legitieme versie is slechts tot 2.5.0, dat deze kwaadaardige versie gebruikt 2.5.1, onderzoekers aanwijzen.
De mijnbouw code haalt een configuratiebestand uit de eigen server van de cybercrimineel's (die gebruik maakt van een dynamische DNS-service) dat informeert over de mijnbouw pool via het Stratum mijnbouw protocol.
Het onderzoeksteam heeft geïdentificeerd 25 monsters Androidos_CPUMiner.
Tenslotte, zoals malware samples showcase hoe mobiele apparaten kunnen ook worden benut voor cryptogeld mining doelen, ondanks de onvoldoende winst van mobiele mijnbouw.
Ook, Android-gebruikers moeten aandacht besteden aan geïnstalleerde apps, vooral bij afbraak op hun apparaten na het installeren van een app.
De in dit artikel genoemde apps zijn niet meer beschikbaar op Google Play, maar ze kunnen snel worden vervangen door andere apps. Dus wees op de uitkijk!