Nowe złośliwe oprogramowanie Monero wykryte w Google Play

W listopadzie 2017 wykryliśmy w Google Play odmianę złośliwego oprogramowania znanego jako JSMiner. Okazało się, że aplikacja do gier Cooee, potrafi wydobywać kryptowaluty. W momencie odkrycia prognozowaliśmy wzrost liczby mobilnych złośliwych programów, które potrafią wydobywać cyfrowe waluty oraz rozszerzanie działalności przestępców na urządzenia Android. W tym tygodniu zidentyfikowaliśmy dwie kolejne aplikacje wydobywające w Google Play: wyszukiwarkę SP i usługę Mr. MineRusher zawierającą sporą bazą subskrybentów.

Podobnie jak ataki, które miały miejsce pod koniec zeszłego roku, mobilny proces wydobycia rozpoczyna się, gdy użytkownik pobierze aplikację i otworzy ją. Aplikacja nie wymaga żadnego działania użytkownika, aby rozpocząć złośliwe działanie. Użytkownik nie musi naciskać żadnego przycisku, zamiast tego następuje automatyczne połączenie z witryną apptrackers.org, na której umieszczona jest usługa CoinHive Java Script miner dla kryptowaluty Monero. Po nawiązaniu połączenia z domeną rozpoczyna się proces wyszukiwania. Wszystko odbywa się w  w tle, gdy ekran jest wyłączony, a urządzenie używa danych lub łączy się z Wi-Fi. Ta taktyka pozwala jeszcze bardziej ukryć i tak trudny do wykrycia atak.

Poniżej znajduje się kod źródłowy pokazujący technikę używaną przez atakującego. Drugi zrzut ekranu pokazuje, w jaki sposób szkodliwe oprogramowanie używa apptrackers.org do kopania Monero przez dwie aplikacje.

Dobrą wiadomością dla użytkowników tych aplikacji jest to, że nie ma to większego wpływu na bezpieczeństwo ani ochronę prywatności. A dla atakujących nagroda za ich wysiłki jest niewielka: wydobycie za pomocą urządzeń mobilnych jest notorycznie nieopłacalne. Dzieje się tak dlatego, że kampanie kryptograficzne wymagają dużej mocy obliczeniowej, aby wygenerować wystarczającą liczbę monet, aby uzyskać zwrot z inwestycji. W przeciwieństwie do komputerów osobistych, urządzenia mobilne nie mają mocy procesora, aby atakujący mógł uzyskać znaczny zysk pieniężny.

A jednak coś jest nie tak!

Na Światowym kongresie mobilnym w Barcelonie przeprowadziliśmy eksperyment, pokazujący w jaki sposób skompromitowane urządzenie IoT może zostać przejęte przez cyberprzestępców i użyte jako narzędzie do wydobywania Monero. W ramach demonstracji zaprosiliśmy uczestników, aby wydobyli krypto-walutę za pomocą urządzeń przenośnych, aby ujawnić z pierwszej ręki wpływ na wydajność i wygodę użytkownika. Ci, którzy brali udział, byli świadkami szybkiego wyczerpania baterii, niedziałających stron internetowych, a w niektórych przypadkach całkowitej awarii urządzenia.

Eksperyment był przykładem nie tylko niedogodności związanych związanych ze złośliwymi aplikacjami specjalizującymi się w wydobyciu, ale wskazywał również jak wszechobecne stało się zagrożenie. Naszym celem było również pomóc społeczeństwu unaocznić dewastację, jaką może spowodować sieć tysięcy urządzeń, tworząca tak zwany atak botnet, który wykorzystują cyberprzestępcy, którzy chcą czerpać korzyści z rosnącej liczby podłączonych urządzeń.

Co możesz zrobić, aby zabezpieczyć się przed złośliwym oprogramowaniem wydobywającym kryptowaluty na urządzeniach mobilnych?

Na szczęście istnieją sposoby, aby się ochronić. Poniższe kroki pomogą Ci nie paść ofiarą cyberprzestępców wykorzystujących urządzenia mobilne do kopania kryptowalut:

1. Koniecznością w zakresie ochrony urządzeń przenośnych jest pobranie aplikacji antywirusowej, która będzie działać prewencyjnie i ochroni Cię w przypadku, gdy napotkasz złośliwą aplikację. Avast Mobile Security wykrywa i usuwa złośliwe aplikacje.
2. Pobieraj aplikacje tylko z oficjalnych sklepów takich jak Google Play. Posiadają one mechanizmy kontrolujące aplikacje pod kątem bezpieczeństwa, zanim zostaną udostępnione publicznie. Ponieważ jednak autorzy złośliwych aplikacji potrafią również obejść zabezpieczenia, ważne jest, aby weryfikować aplikacje, upewniając się, że zostały opracowane przez zaufane źródło i nie są fałszywe. Można to zrobić odwiedzając stronę główną producenta, weryfikując, czy udostępniane na ich stronach aplikacje mobilne na swoich stronach internetowych, prowadzą do tego samego miejsca w Google Play, z którego zamierzasz pobrać aplikację.
3. Przed pobraniem aplikacji zawsze czytaj zarówno pozytywne, jak i negatywne recenzje. Nawet jeśli aplikacja ma pozytywne recenzje, zwykle można stwierdzić, czy te recenzje są fałszywe, czy prawdziwe; podejrzane super pozytywne opinie mogą być oznaką, że aplikacji nie należy ufać. Jeśli zaś aplikacja miała jedynie negatywne recenzje, a recenzenci zgłaszali swoje podejrzenia w kwestii oszustwa, nie pobieraj takiej aplikacji!
4. Kolejnym ważnym krokiem jest dokładne sprawdzenie uprawnień, których żąda aplikacja. Jeśli aplikacja prosi o uprawnienia, które nie mają sensu i nie są konieczne, aby aplikacja działała prawidłowo, przed pobraniem musisz pomyśleć dwa razy.
5. Ogólnie rzecz biorąc, aplikacje które rzekomo oferują krypto-walutę po znacznie niższym kursie wymiany, mogą być uznane za fałszywe.