Al menos 25 aplicaciones de Android en la tienda oficial de Google Play contienen código que extrae criptomonedas en segundo plano.
A pesar de que los precios de las criptomonedas han caído significativamente en los últimos meses, los autores de malware siguen siendo optimistas sobre la idea de utilizar los dispositivos de las víctimas para minar.
SophosLabs descubrió recientemente 25 aplicaciones en Google Play que se presentan como juegos, utilidades y aplicaciones educativas, pero que en realidad convierten el dispositivo móvil de la víctima en una plataforma de minería. Estas aplicaciones ya se han descargado e instalado más de 120.000 veces.
Se descubrió que la mayoría de las aplicaciones tenían código Coinhive integrado (un minero de Monero implementado en JavaScript, del que hablamos en el artículo Una nueva ronda de minería gris: minería basada en navegador). Coinhive está diseñado específicamente para ejecutarse de manera eficiente en CPU en lugar de GPU, lo que lo convierte en un candidato ideal para la minería sigilosa en dispositivos móviles.
El código minero se puede inyectar en cualquier aplicación utilizando el navegador WebView integrado con solo unas pocas líneas de código. Se eligió Monero como moneda minada porque esta criptomoneda proporciona un nivel suficiente de anonimato y permite ocultar tanto la dirección del destinatario como el volumen minado. Estas aplicaciones utilizan la potencia del procesador con mucho cuidado para evitar los frecuentes efectos que desenmascaran: sobrecalentamiento del dispositivo, descarga rápida de la batería y lentitud del dispositivo en su conjunto: un error cometido por el virus móvil Loapi el año pasado.
11 de estas 25 aplicaciones fueron diseñadas para preparar exámenes estandarizados administrados en los Estados Unidos, como ACT, GRE o SAT, y fueron publicadas por el mismo desarrollador, Gadgetium. Todas estas aplicaciones contenían una página HTML con un minero Coinhive. Para ejecutar el mainer, primero permitieron que se ejecutara Javascript y luego cargaron la página usando WebView. Si bien la mayoría de los mineros de Coinhive usan scripts ubicados en coinhive.com, dos de las aplicaciones (co.lighton y com.mobeleader.spsapp) alojaron el código del minero en sus propios servidores, presumiblemente para camuflarse de los sistemas antivirus y firewalls, muchos de los cuales bloquean los dominios de Coinhive de forma predeterminada. Una de las aplicaciones detectadas es de.uwepost..apaintboxforkids incluso usó XMRig (un minero de CPU de código abierto que admite la extracción de varias criptomonedas, incluido Monero).
A pesar de que las aplicaciones que extraen criptomonedas han estado y siguen estando estrictamente prohibidas en Google Play, muchos de estos mineros siguen existiendo libremente en el mercado. SophosLabs notificó a Google sobre estas aplicaciones en agosto. Aunque algunos de ellos han sido eliminados de Google Play, muchos de ellos todavía están disponibles para descargar. Todos ellos están definidos por Sophos Mobile Security como minero de criptomonedas Coinhive JavaScript y Android XMRig Miner.
Basado en materiales de Sophos News
Leer también
Instalar Flash al precio de la minería de criptomonedas
Si pensaba que los problemas con el complemento Flash habían desaparecido, entonces estaba equivocado, están ganando impulso y los estafadores se han vuelto más sabios y creativos.
Los usuarios de Facebook están siendo sometidos a un nuevo tipo de ciberdelito: se les pide que paguen un rescate en Bitcoin
Las amenazas comienzan en el momento en que la víctima recibe en su correo electrónico un pequeño archivo con una contraseña personal de un sitio web para adultos. A diferencia de otros casos similares, las víctimas afirman que estas contraseñas eran válidas. Los ciberdelincuentes afirman que, para obtener contraseñas, infectaron vídeos de sitios porno con un virus.
