Segurança para Mobiles

Malwares de mineração se infiltram na Loja Google Play

Nikolaos Chrysaidos, 8 Novembro 2017

O Avast encontra e detecta um aplicativo que mina a moeda de criptografia Monero e consome os recursos do seu smartphone Android.

A mineração de criptomoedas é um assunto quente e inovador no momento, especialmente porque muitos sites recorreram recentemente à mineração para se financiarem, em vez de exibir propaganda. Assim como acontece com muitas tendências maliciosas, os cibercriminosos partiram rapidamente do computador para os smartphones. Esta semana, encontramos um aplicativo que contém recursos de mineração na Loja Google Play, mascarando, por exemplo, o jogo Cooee. Entre 1.000 e 5.000 usuários baixaram o aplicativo. Detectamos esse malware como JSMiner e informamos ao Google sobre o aplicativo.

XCooeep Google Play app.png

XCooeep_Google_Play_app_details.png

Minerando as criptomoedas

É importante entender que a mineração de criptomoedas é realmente um negócio legítimo. Ganhar a suficiente escala para maximizar o lucro requer um poder de computação significativo, por isso é que alguns mineradores executam esse trabalho em grandes fazendas de servidores para explorar o Bitcoin ou outras moedas, como Litecoin, Ethereum ou Monero. Construir e manter a infra-estrutura, além de ter acesso à eletricidade necessária para executá-los, exige um enorme investimento financeiro.

Uma vez que a mineração de criptomoedas é cara, os mineradores estão recorrendo à invasão do poder de processamento de outros dispositivos e estão espalhando programas de mineração através de aplicativos e sites. Consideramos que a mineração de criptografia é mal-intencionada quando é feita sem a permissão do usuário, o que aconteceu neste caso.

Deixar a mineração começar... ou não?

Para que o malware comece o processo de mineração, tudo o que o usuário precisa fazer depois de baixar o aplicativo é clicar no botão abaixo. O principal objetivo do botão deve ser permitir que o usuário faça login no painel da comunidade do Chat Cooee Club 3D.

XCOOEEP_Button.png

Depois de clicar no botão acima, um novo painel é aberto em segundo plano. Isso permite que o malware carregue o código Javascript CoinHive de um endereço de host externo. Então a mineração começa.

Uma vez que o processo de mineração começa, o telefone ficará mais quente, pois a utilização da CPU é muito alta.

O malware mina a criptomoeda Monero. O objetivo final para os cibercriminosos é o ganho financeiro, mas o que os cibercriminosos não parecem perceber é que a mineração em um dispositivo móvel não pode gerar muito lucro. Os dispositivos móveis não têm o poder de processamento que os computadores possuem para minerar com êxito e, além disso, os dispositivos móveis têm duração limitada da bateria, porque não estão sendo constantemente carregados, limitando assim o tempo de mineração.

No código abaixo, podemos ver que o malware abre dois painéis: um com o login (Clubcooee) e outro, invisível, com o site que hospeda o código Javascript  Coinhive.

CoinHive_Webview.png

O novo painel está oculto (android:visibility="invisible") para que o usuário não possa suspeitar de nada além do fato de o seu telefone estar esquentando.

CoinHive_Webview_invisible.png

Abaixo está o código Javascript CoinHive que é usado para a mineração:

CoinHive_JS.png

Como se proteger

O interessante é o quão fácil é a integração do código CoinHive em um aplicativo móvel e a inicialização da mineração. Esta nova tendência de mineração de malware móvel continuará a crescer dada a facilidade de implementação, e talvez se espalhe mais amplamente, dado que cerca de centenas de milhares de dispositivos são necessários para gerenciar com sucesso a mineração via smartphone.

Para evitar que o seu telefone se torne um dos mineradores, se você ainda não o fez, instale agora mesmo o Avast Mobile Security. Além disso, fique atento aos aplicativos que você instalou e à quantidade de CPU que eles usam. Se você notar que seu telefone está aquecendo mais rapidamente, especialmente quando não está em uso, verifique quais aplicativos estão consumindo mais poder de processamento do que deveriam e veja se não é o caso de se livrar desse aplicativo.

IOC

SHA256Host78CBF53BBEC98D641241F7A4D34655684FAE1CD85A3782A1E49C1C7BCBC7F5D2http://pagebin.com/eGHvp4jC

 O vídeo abaixo mostra o uso da CPU antes que o aplicativo fosse baixado
e depois que a página de login foi aberta.