El minado de criptomonedas es el tema que está en boca de todos en estos días. ¿Sabe que tus propios dispositivos podrían ser explotados sin que usted se dé cuenta? Como investigador de malware en Avira, nuestro colega Mihai Grigorescu analizó de cerca a “MemeGenerator”, una aplicación gratuita para Android que también genera Monera, y estos son los hallazgos clave:
1. Las criptomonedas generan calor.
Agregar el MemeGenerator tuvo un gran impacto en el uso de energía del dispositivo y en el CPU, como se muestra en las imágenes. El dispositivo estaba visiblemente más caliente. No está claro qué hace funcionar a un nivel tan alto el CPU y la batería del dispositivo.
2. El mejor módulo de minado de criptomoneda.
Es fácil crear una aplicación de Android engañosa para minar Monero y parecer completamente inocente. El Coinhive Miner lo hace fácil de hacer. La única forma en que un usuario puede verlo es cuando el dispositivo se calienta, una consecuencia de la carga inusual en el dispositivo durante la minería.
3. Los pequeños bits suman.
La recompensa para los mineros de criptomonedas en tu dispositivo es pequeña, pero puede sumar. A diferencia de las PC, los dispositivos móviles no tienen la capacidad de procesamiento para permitir que un atacante pueda extraer una cantidad significativa de criptomonedas. Sin embargo, la pequeña cantidad que obtienen aumenta con cada dispositivo infectado, y aplicaciones como MemeGenerator hacen posible la infección de una gran cantidad de dispositivos Android.
4. Recuerda, es tu dispositivo.
La decisión de extraer una criptomoneda la debes tomar tu como propietario del dispositivo, no como un movimiento furtivo de los desarrolladores mal intencionados. Cualquier otra cosa es el robo de tu tiempo y activos. Es por eso que Avira detecta estas aplicaciones como ANDROID / Coinminer.X.Gen y el javascript como HTML / ExpKit.Gen2.
Aquí está la historia completa de la interacción de Mihai con la aplicación MemeGenerator:
Esa inocente primera mirada.
Lo primero que hemos aprendido sobre cualquier aplicación móvil es observar detenidamente los permisos necesarios.
Bueno, esta aplicación no requería ningún permiso sospechoso; obviamente, se requería acceso a la red para compartir con amigos cualquier meme generado, y también guardar archivos en la tarjeta SD para guardar los memes.
Como la aplicación parecía legítima, esto podría hacer que cualquier usuario haga click en "Instalar" para continuar con la instalación.
Después de la instalación, la aplicación creó un bonito icono de inicio, así que hicimos click en él ...
Sin ninguna explicación, tenemos una lista de imágenes para elegir. Pensamos en que imagen de fondo deseamos usar, elegimos una:
Tenemos dos cuadros de entrada, rellenos con "Texto superior" y "Texto inferior". Después de llenarlos con el texto "why is my phone hot" (¿Por qué mi teléfono está caliente?) Obtuvimos el meme terminado y las opciones para compartirlo por correo electrónico, mensaje de mms o Bluetooth.
A primera vista, parecía una aplicación muy simple que hizo el trabajo, generando nuestro meme personalizado.
absolutamente nada que hubiera hecho sospechar a un usuario que algo andaba mal con esta aplicación. Sin embargo, había un problema: el dispositivo estaba calentándose.
Mirando debajo del capó
Una rápida revisión en LogCat reveló que la aplicación se creó con App Inventor y que estaba cargando parte del contenido en una WebView.
Descompilamos la aplicación para echar un vistazo más de cerca:
Al mirar el código, vimos que el contenido se cargó desde el archivo APK, desde la carpeta android_asset, así que comenzamos examinando este archivo:
Este fue el código HTML que generó la lista de imágenes de fondo que hemos elegido anteriormente, y vimos que estaba cargando un archivo min.js:
Este fue Coinhive Miner de coinhive.com, vimos la misma sintaxis en su documentación:
Entonces, en nuestro caso, 'K2hXuRJ7cExO4bPknDEWhDabqM0Ls8e3' era la clave del sitio.
Estaba ardiendo por ti
No fue una ilusión: el teléfono inteligente realmente estaba ardiendo. Antes de iniciar la aplicación, el primer gráfico de carga de la CPU mostraba un dispositivo en reposo. Pero una vez que la aplicación se estaba ejecutando, la porción de la muestra de color verde del gráfico, representaba un considerable 48% de carga del CPU, usándose para la minería.
Conclusiones de la Cryptocurrency MEME
Coinhive Miner lo deja en claro con su enfoque modular: es fácil crear una aplicación de aspecto inofensivo para la minería de criptomonedas. La única forma en que un usuario puede darse cuenta, es cuando el dispositivo se calienta, una consecuencia de la carga inusual en el dispositivo cuando se está minando.
La minería de criptomonedas parece ser una tendencia creciente de parte de los ciberdelincuentes para monetizar tu dispositivo. Como empresa de seguridad cibernética, identificamos y bloqueamos los intentos de dañar tus dispositivos, tomar tu información privada y hacer un uso indebido de estos dispositivos para sus propios fines ocultos, como la extracción de criptomonedas. Por estos motivos, detectamos estas aplicaciones como ANDROID / Coinminer.X.Gen y el javascript como HTML / ExpKit.Gen2.
IOCs
K2hXuRJ7cExO4bPknDEWhDabqM0Ls8e3 – coinhive site key
6d4daa7588df5e864485b6aab665bd66c79fe6aed842f22d86b8a54bd6dcc3a6 – android application
712bb1af37e7a67f86eb8b2826b8e9bd90af1d0cf213e0d8f5392dcdb5f8ed5d – coinminer JS