Al menos 25 aplicaciones de Android en la tienda oficial de Google Play contienen código que extrae criptomonedas en segundo plano.
A pesar de que los precios de las criptomonedas han caído significativamente en los últimos meses, los autores de malware siguen siendo optimistas sobre la idea de utilizar los dispositivos de las víctimas para minar.
SophosLabs descubrió recientemente 25 aplicaciones en Google Play que se presentan como juegos, utilidades y aplicaciones educativas, pero que en realidad convierten el dispositivo móvil de la víctima en una plataforma de minería. Estas aplicaciones ya se han descargado e instalado más de 120.000 veces.
Se descubrió que la mayoría de las aplicaciones tenían código Coinhive integrado (un minero de Monero implementado en JavaScript, del que hablamos en el artículo Una nueva ronda de minería gris: minería basada en navegador). Coinhive está diseñado específicamente para ejecutarse de manera eficiente en CPU en lugar de GPU, lo que lo convierte en un candidato ideal para la minería sigilosa en dispositivos móviles.
El código minero se puede inyectar en cualquier aplicación utilizando el navegador WebView integrado con solo unas pocas líneas de código. Se eligió Monero como moneda minada porque esta criptomoneda proporciona un nivel suficiente de anonimato y permite ocultar tanto la dirección del destinatario como el volumen minado. Estas aplicaciones utilizan la potencia del procesador con mucho cuidado para evitar los frecuentes efectos que desenmascaran: sobrecalentamiento del dispositivo, descarga rápida de la batería y lentitud del dispositivo en su conjunto: un error cometido por el virus móvil Loapi el año pasado.
11 de estas 25 aplicaciones fueron diseñadas para preparar exámenes estandarizados administrados en los Estados Unidos, como ACT, GRE o SAT, y fueron publicadas por el mismo desarrollador, Gadgetium. Todas estas aplicaciones contenían una página HTML con un minero Coinhive. Para ejecutar el mainer, primero permitieron que se ejecutara Javascript y luego cargaron la página usando WebView. Si bien la mayoría de los mineros de Coinhive usan scripts ubicados en coinhive.com, dos de las aplicaciones (co.lighton y com.mobeleader.spsapp) alojaron el código del minero en sus propios servidores, presumiblemente para camuflarse de los sistemas antivirus y firewalls, muchos de los cuales bloquean los dominios de Coinhive de forma predeterminada. Una de las aplicaciones detectadas es de.uwepost..apaintboxforkids incluso usó XMRig (un minero de CPU de código abierto que admite la extracción de varias criptomonedas, incluido Monero).
A pesar de que las aplicaciones que extraen criptomonedas han estado y siguen estando estrictamente prohibidas en Google Play, muchos de estos mineros siguen existiendo libremente en el mercado. SophosLabs notificó a Google sobre estas aplicaciones en agosto. Aunque algunos de ellos han sido eliminados de Google Play, muchos de ellos todavía están disponibles para descargar. Todos ellos están definidos por Sophos Mobile Security como minero de criptomonedas Coinhive JavaScript y Android XMRig Miner.
Basado en materiales de Sophos News
Leer también
El ataque de phishing a Electrum costó a los usuarios alrededor de 250 BTC
El 27 de diciembre, varias personas en sus redes sociales informaron que la billetera estaba siendo atacada por un hacker, y que ya había logrado robar alrededor de 250 bitcoins (aproximadamente 937.000 dólares). El ataque fue confirmado posteriormente por Electrum. Según sus representantes, el hacker creó una versión falsa de la billetera para obtener contraseñas de billeteras de usuarios reales.
Las estafas criptográficas han evolucionado hasta convertirse en aplicaciones completamente nuevas.
A medida que se desarrollan los activos digitales, crece el deseo de los ciberdelincuentes de apoderarse de ellos; Constantemente idean nuevas formas de engaño.
