Криптоджекінг знову в моді або сірі майнери повертаються до Google Play Market

Не менше 25 Android-додатків в офіційному магазині Google Play містять код, який видобуває криптовалюту у фоновому режимі.

Незважаючи на те, що за останні кілька місяців ціни на криптовалюти значно знизилися, автори шкідливих програм так само оптимістично ставляться до ідеї використання пристроїв жертв для майнінгу.

SophosLabs нещодавно виявили 25 додатків у Google Play, які представляють себе як ігри, утиліти та освітні програми, але за фактом, вони перетворюють мобільний пристрій жертви на майнігове клуня. Ці програми були завантажені та встановлені вже понад 120 000 разів.

Було виявлено, що в більшість додатків був вбудований код Coinhive, (майнер Monero, реалізований на JavaScript, про який ми розповідали у статті Новий виток сірого майнінг). Coinhive спеціально розроблений для ефективної роботи на CPU, а не на графічних процесорах, що робить його ідеальним кандидатом для прихованого майнінгу на мобільних пристроях.

Код майнера може бути впроваджений у будь-який додаток, який використовує вбудований браузер WebView, за допомогою лише кількох рядків коду. Monero був обраний як валюта, що видобувається так як ця криптовалюти забезпечує достатній рівень анонімності і дозволяє приховати як адресу одержувача, так і здобутий обсяг. Дані програми дуже акуратно використовують потужності процесора для запобігання частим демаскуючим ефектам: перегрів пристрою, швидкий розряд акумулятора та повільність пристрою в цілому - помилка, допущена мобільним вірусом Loapi минулого року.

11 з цих 25 додатків були призначені для підготовки до стандартних тестів, що проводяться в США, таких як ACT, GRE або SAT, і були опубліковані одним і тим самим розробником Gadgetium. Всі ці програми містять HTML сторінку з Coinhive-майнером. Для запуску мейнера вони спочатку дозволяли виконання Javascript, а потім завантажували сторінку, використовуючи WebView. У той час, як більшість Coinhive-майнрів використовують скрипти, розташовані на coinhive.com, два з додатків (со.lighton і com.mobeleader.spsapp) розмістили код майнера на своїх власних серверах, імовірно для маскування від антивірусних комплексів і фаєрволлів, багато з яких блокує домени Coin. Одна з виявлених програм - de.uwepost..apaintboxforkids навіть використовувало XMRig (CPU-майнер з відкритим вихідним кодом, що підтримує видобуток декількох криптовалюти, включаючи Monero).

Незважаючи на те, що програми, які видобувають криптовалюти були і залишаються категорично забороненими на Google Play, безліч подібних майнерів продовжують вільно існувати на ринку. SophosLabs повідомили Google про ці програми ще в серпні. Незважаючи на те, що частина їх була прибрана з Google Play, багато з них все ще доступні для скачування. Всі вони визначаються Sophos Mobile Security як Coinhive JavaScript cryptocoin

За матеріалами Sophos News