Каким образом это работает и как защитить себя от подобного вредоносного ПО?
Криптовалюты — одна из самых обсуждаемых тем на сегодняшний день. Даже веб-сайты стали отказываться от показа рекламы в пользу скрытого «майнинга». Киберпреступники решили не оставлять эту тему без внимания, и помимо ПК, начали взаимодействовать также с мобильными устройствами.
В магазине Google Play Store мы обнаружили бесплатное приложение Cooee, которое, на первый взгляд, является безобидной игрой, но почему-то в своем коде предусматривает возможность для осуществления скрытого майнинга с помощью вируса JSMiner. До 5000 пользователей уже скачало это приложение. Мы сообщили об этом представителям компании.
Коротко о главном в майниге
Следует отметить, что добыча криптовалюты — это легальный бизнес, но для получения большей прибыли требуются более высокие вычислительные мощности. Так некоторые майнеры создают собственные крипто-фермы для работы с Bitcoin или другими криптовалютами, такими как Litecoin, Ethereum и Monero. Однако большие издержки, связанные с построением и поддержанием работоспособности оборудования, а также погашением счетов за электричество, заставляет киберпреступников прибегнуть к злоупотреблению чужими производственными ресурсами: внедряя вредоносное ПО в приложения или веб-сайты.
Сегодня мы рассматриваем лишь негативную сторону майнинга: когда это происходит без согласия владельца устройства.
Скрытый майнинг в приложении Cooee
Для того чтобы приложение Cooee начало выполнять свои вредоносные функции, пользователь должен нажать на единственную огромную кнопку на стартовом окне. По сути, эта кнопка должна переводить юзера в панель тематического сообщества "Cooee Club 3D Chat", но не тут-то было.
После нажатия в фоновом режиме открывается веб-адрес, с которого скачивается CoinHive JavaScrtipt и приложение приступает к майнингу. Как только телефон начинает добывать криптовалюту, загруженность процессора становится крайне высока и устройство быстро перегревается.
Итак, Cooee приступает к майнингу Monero. Несмотря на то, что конечной целью киберпреступников является финансовая выгода, телефоны, в виду своей низкой производительности майнят медленнее, чем ПК. Также смартфон ограничен во времени автономной работы без заряда аккумулятора, поэтому добыча криптовалюты таким способом ограничена в определенных рамках.
В приведенном ниже коде мы видим, что вредоносное ПО реализует два веб-запроса: один с панелью входа в Cooee Club 3D Chat и второй невидимый веб-запрос — к сайту, на котором размещается код CoinHive JS.
Заметим, что второй запрос скрыт частью кода (android:visibility="invisible"), так что пользователь ничего не заподозрит (если только телефон в руках не загорится от перегрева).
Код ниже демонстрирует запуск модуля майнинга.
А на этом видео мы можем увидеть нагрузку процессора до загрузки приложения и после его запуска.
Как защитить своё устройство
Если внедрить майнинг в обычное приложение — такое простое дело, то следует понимать, что количество подобных программ в будущем будет только расти. Чтобы ваш смартфон не стал жертвой подобного софта, установите Avast Mobile Security на свой Android, если еще этого не сделали.
Внимательно выбирайте приложения, которые хотите установить, и следите за первыми признаками скрытого воздействия на устройство — его быстрый нагрев и высокую загрузку процессора.
Майнинг — это неплохо, но не когда это делают с вашей помощью и без вашего ведома.