App religioso faz mineração de Bitcoin

Um app religioso e outro para obtenção de descontos em e-Commerce têm capacidade de mineração de moedas virtuais e estão hospedados na loja Google Play. A descoberta foi feita por pesquisadores da Trend Micro. Os aplicativos usaram o carregamento dinâmico de JavaScript e a injeção de código nativo para evitar seu mapeamento. Não é a primeira vez que pesquisadores da empresa encontram aplicativos mal-intencionados em lojas como a Google Play. Um exemplo é o ANDROIDOS_KAGECOIN, família de malwares também com capacidades ocultas de mineração de criptomoedas.

O que a Trend Micro constatou neste caso são aplicativos usados para esse propósito, detectados como ANDROIDOS_JSMINER e ANDROIDOS_CPUMINER.

​O código de mineração aparentemente é uma versão modificada da cpuminer legítima e utiliza o código 2.5.1. O código é adicionado às aplicações normais, conforme observado abaixo:

O código de mineração obtém um arquivo de configuração do próprio servidor do cibercriminoso (que usa um serviço de DNS dinâmico) e fornece informações em seu pool de mineração por meio do protocolo de mineração Stratum.

O atacante faz a mineração de diversos tipos de criptomoedas com diferentes quantidades de moedas extraídas. Também mostra que o valor das moedas extraídas em um período desconhecido, equivale a pouco mais de 170 dólares americanos; os ganhos totais não são conhecidos.

A Trend Micro identificou um total de 25 amostras do ANDROIDOS_CPUMINER.

Por meio do Trend Micro Mobile Security, a Trend Micro detectou variantes como a JSMINER, citada no início do texto. Estas ameaças destacam como até mesmo dispositivo móveis podem ser usados para a mineração de criptomoedas. Apesar de, na prática, os esforços dos hackers resultarem em um lucro insignificante. Usuários devem notar qualquer degradação no funcionamento de seus dispositivos após instalar um aplicativo.

A Trend Micro notificou o Google, e os aplicativos mencionados neste texto já foram removidos da Google Play.Os aplicativos abaixo foram encontrados na Google Play e foram relacionados a esta ameaça: Ambas as amostras, são executadas da mesma maneira: carregam a biblioteca de códigos do JavaScript originada pelo Coinhive e iniciam a mineração com a chave de segurança do próprio site do atacante.Este código JavaScript é executado durante a exibição do app na web, no entanto, não é visível para o usuário pois a visualização via web está programada para ser executada em modo invisível.

Quando o código malicioso do JavaScript é executado, a CPU torna-se extremamente sobrecarregada.ANDROIDOS_CPUMINER: Versões trojan de apps legítimosA família ANDROIDOS_CPUMINER utiliza versões legítimas de aplicativos e adds mineradores, que depois são redistribuídos. Uma versão deste malware no Google Play é distribuído disfarçadamente sob um anúncio de um aplicativo para fundo de tela.