Al menos 25 aplicaciones de Android en la tienda oficial de Google Play contienen código que extrae criptomonedas en segundo plano.
A pesar de que los precios de las criptomonedas han caído significativamente en los últimos meses, los autores de malware siguen siendo optimistas sobre la idea de utilizar los dispositivos de las víctimas para minar.
SophosLabs descubrió recientemente 25 aplicaciones en Google Play que se presentan como juegos, utilidades y aplicaciones educativas, pero que en realidad convierten el dispositivo móvil de la víctima en una plataforma de minería. Estas aplicaciones ya se han descargado e instalado más de 120.000 veces.
Se descubrió que la mayoría de las aplicaciones tenían código Coinhive integrado (un minero de Monero implementado en JavaScript, del que hablamos en el artículo Una nueva ronda de minería gris: minería basada en navegador). Coinhive está diseñado específicamente para ejecutarse de manera eficiente en CPU en lugar de GPU, lo que lo convierte en un candidato ideal para la minería sigilosa en dispositivos móviles.
El código minero se puede inyectar en cualquier aplicación utilizando el navegador WebView integrado con solo unas pocas líneas de código. Se eligió Monero como moneda minada porque esta criptomoneda proporciona un nivel suficiente de anonimato y permite ocultar tanto la dirección del destinatario como el volumen minado. Estas aplicaciones utilizan la potencia del procesador con mucho cuidado para evitar los frecuentes efectos que desenmascaran: sobrecalentamiento del dispositivo, descarga rápida de la batería y lentitud del dispositivo en su conjunto: un error cometido por el virus móvil Loapi el año pasado.
11 de estas 25 aplicaciones fueron diseñadas para preparar exámenes estandarizados administrados en los Estados Unidos, como ACT, GRE o SAT, y fueron publicadas por el mismo desarrollador, Gadgetium. Todas estas aplicaciones contenían una página HTML con un minero Coinhive. Para ejecutar el mainer, primero permitieron que se ejecutara Javascript y luego cargaron la página usando WebView. Si bien la mayoría de los mineros de Coinhive usan scripts ubicados en coinhive.com, dos de las aplicaciones (co.lighton y com.mobeleader.spsapp) alojaron el código del minero en sus propios servidores, presumiblemente para camuflarse de los sistemas antivirus y firewalls, muchos de los cuales bloquean los dominios de Coinhive de forma predeterminada. Una de las aplicaciones detectadas es de.uwepost..apaintboxforkids incluso usó XMRig (un minero de CPU de código abierto que admite la extracción de varias criptomonedas, incluido Monero).
A pesar de que las aplicaciones que extraen criptomonedas han estado y siguen estando estrictamente prohibidas en Google Play, muchos de estos mineros siguen existiendo libremente en el mercado. SophosLabs notificó a Google sobre estas aplicaciones en agosto. Aunque algunos de ellos han sido eliminados de Google Play, muchos de ellos todavía están disponibles para descargar. Todos ellos están definidos por Sophos Mobile Security como minero de criptomonedas Coinhive JavaScript y Android XMRig Miner.
Basado en materiales de Sophos News
Leer también
Primeros ladrones de Bitcoin arrestados en Taiwán
Según Aljazeera, cuatro delincuentes fueron detenidos en la ciudad de Taichung. Los atacantes atrajeron al propietario de 18 BTS a una reunión, en la que lo obligaron a transferir criptomonedas a una dirección específica y luego lo golpearon.
Aplicación Calendar 2 eliminada de la App Store por minería oculta
Una popular aplicación de calendario para Mac desapareció de la App Store después de que se descubrió que extraía criptomonedas sin el permiso de los usuarios.
