O Avast encontra e detecta um aplicativo que mina a moeda de criptografia Monero e consome os recursos do seu smartphone Android.
A mineração de criptomoedas é um assunto quente e inovador no momento, especialmente porque muitos sites recorreram recentemente à mineração para se financiarem, em vez de exibir propaganda. Assim como acontece com muitas tendências maliciosas, os cibercriminosos partiram rapidamente do computador para os smartphones. Esta semana, encontramos um aplicativo que contém recursos de mineração na Loja Google Play, mascarando, por exemplo, o jogo Cooee. Entre 1.000 e 5.000 usuários baixaram o aplicativo. Detectamos esse malware como JSMiner e informamos ao Google sobre o aplicativo.
Minerando as criptomoedas
É importante entender que a mineração de criptomoedas é realmente um negócio legítimo. Ganhar a suficiente escala para maximizar o lucro requer um poder de computação significativo, por isso é que alguns mineradores executam esse trabalho em grandes fazendas de servidores para explorar o Bitcoin ou outras moedas, como Litecoin, Ethereum ou Monero. Construir e manter a infra-estrutura, além de ter acesso à eletricidade necessária para executá-los, exige um enorme investimento financeiro.
Uma vez que a mineração de criptomoedas é cara, os mineradores estão recorrendo à invasão do poder de processamento de outros dispositivos e estão espalhando programas de mineração através de aplicativos e sites. Consideramos que a mineração de criptografia é mal-intencionada quando é feita sem a permissão do usuário, o que aconteceu neste caso.
Deixar a mineração começar... ou não?
Para que o malware comece o processo de mineração, tudo o que o usuário precisa fazer depois de baixar o aplicativo é clicar no botão abaixo. O principal objetivo do botão deve ser permitir que o usuário faça login no painel da comunidade do Chat Cooee Club 3D.
Depois de clicar no botão acima, um novo painel é aberto em segundo plano. Isso permite que o malware carregue o código Javascript CoinHive de um endereço de host externo. Então a mineração começa.
Uma vez que o processo de mineração começa, o telefone ficará mais quente, pois a utilização da CPU é muito alta.
O malware mina a criptomoeda Monero. O objetivo final para os cibercriminosos é o ganho financeiro, mas o que os cibercriminosos não parecem perceber é que a mineração em um dispositivo móvel não pode gerar muito lucro. Os dispositivos móveis não têm o poder de processamento que os computadores possuem para minerar com êxito e, além disso, os dispositivos móveis têm duração limitada da bateria, porque não estão sendo constantemente carregados, limitando assim o tempo de mineração.
No código abaixo, podemos ver que o malware abre dois painéis: um com o login (Clubcooee) e outro, invisível, com o site que hospeda o código Javascript Coinhive.
O novo painel está oculto (android:visibility="invisible") para que o usuário não possa suspeitar de nada além do fato de o seu telefone estar esquentando.
Abaixo está o código Javascript CoinHive que é usado para a mineração:
Como se proteger
O interessante é o quão fácil é a integração do código CoinHive em um aplicativo móvel e a inicialização da mineração. Esta nova tendência de mineração de malware móvel continuará a crescer dada a facilidade de implementação, e talvez se espalhe mais amplamente, dado que cerca de centenas de milhares de dispositivos são necessários para gerenciar com sucesso a mineração via smartphone.
Para evitar que o seu telefone se torne um dos mineradores, se você ainda não o fez, instale agora mesmo o Avast Mobile Security. Além disso, fique atento aos aplicativos que você instalou e à quantidade de CPU que eles usam. Se você notar que seu telefone está aquecendo mais rapidamente, especialmente quando não está em uso, verifique quais aplicativos estão consumindo mais poder de processamento do que deveriam e veja se não é o caso de se livrar desse aplicativo.