Не менее 25 Android-приложений в официальном магазине Google Play содержат код, который добывает криптовалюту в фоновом режиме.
Несмотря на то, что за последние несколько месяцев цены на криптовалюты значительно снизились, авторы вредоносных программ все так же оптимистично относятся к идее использования устройств жертв для майнинга.
SophosLabs недавно обнаружили 25 приложений в Google Play, которые представляют себя как игры, утилиты и образовательные приложения, но по факту, они превращают мобильное устройство жертвы в майниговый риг. Эти приложения были скачаны и установлены уже более 120 000 раз.
Было обнаружено, что в большинство приложений был встроен код Coinhive, (майнер Monero, реализованный на JavaScript, о котором мы рассказывали в статье Новый виток серого майнинга - браузерный майнинг). Coinhive специально разработан для эффективной работы на CPU, а не на графических процессорах, что делает его идеальным кандидатом для скрытого майнинга на мобильных устройствах.
Код майнера может быть внедрен в любое приложение, использующее встроенный браузер WebView, с помощью всего нескольких строк кода. Monero был выбран в качестве добываемой валюты так как эта криптовалюты обеспечивает достаточный уровень анонимности и позволяет скрыть как адрес получателя, так и добытый объем. Данные приложения очень аккуратно используют мощности процессора для избежания частых демаскирующих эффектов: перегрев устройства, быстрый разряд аккумулятора и медлительность устройства в целом - ошибка, допущенная мобильным вирусом Loapi в прошлом году.
11 из этих 25 приложений были предназначены для подготовки к стандартным тестам, проводимым в США, таким как ACT, GRE или SAT, и были опубликованы одним и тем же разработчиком Gadgetium. Все эти приложения содержали HTML страницу с Coinhive-майнером. Для запуска мейнера они сначала разрешали исполнение Javascript, а затем загружали страницу, используя WebView. В то время, как большинство Coinhive-майнров используют скрипты, расположенные на coinhive.com, два из приложений (сo.lighton и com.mobeleader.spsapp) разместили код майнера на своих собственных серверах, предположительно для маскировки от антивирусных комплексов и фаерволлов, многие из которых блокирует домены Coinhive по умолчанию. Одно из обнаруженных приложений - de.uwepost.apaintboxforkids, даже использовало XMRig (CPU-майнер с открытым исходным кодом, поддерживающий добычу нескольких криптовалюты, включая Monero).
Несмотря на то, что приложения, добывающие криптовалюты были и остаются категорически запрещенными на Google Play, множество подобных майнеров продолжают свободно существовать на рынке. SophosLabs уведомили Google об этих приложениях еще в августе. Несмотря на то, что часть из них была убрана из Google Play, многие из них все еще доступны для скачивания. Все они определяются Sophos Mobile Security как Coinhive JavaScript cryptocoin miner и Android XMRig Miner.
По материалам Sophos News
Читайте также
Новый виток серого майнинга - браузерный майнинг
С появлением javascript-майнеров у хакеров значительно расширились возможности для паразитной добычи криптовалют.
Баг NEO позволяет хакерам зарабатывать
Согласно информации китайской интернет-компании Tencent, пользователи NEO рискуют потерять свои средства в любую секунду, так как недавно обнаруженная уязвимость в системе безопасности позволяет хакерам получать удаленный доступ к их кошелькам.