Η Sophos συνεχίζει να βλέπει αυξητικές τάσεις στον αριθμό των web-based cryptominers που αθόρυβα καταχρώνται την επεξεργαστική ισχύ των υπολογιστών των θυμάτων τους με στόχο την εξόρυξη κρυπτονομισμάτων.

Τα τελευταία παραδείγματα στοχεύουν στις συσκευές Android μέσω πλαστών (ή και παραβιασμένων) εφαρμογών στο Google Play. Οι ανακαλύψεις κακόβουλων εφαρμογών (apps) περιγράφονται σε μία νέα εργασία του Pankaj Kohli, έναν ερευνητή ασφαλείας-απειλών από την ομάδα της Sophos στο Σύδνεϋ, στην Αυστραλία.

Το Android mining malware χωρίζεται σε δύο κατηγορίες στην εργασία: τους miners σε Javascript που βρίσκονται εντός των περιηγητών Internet (Javascript in-browser miners) και τα αρθρώματα εξόρυξης τρίτων (third-party mining modules), όπως το CoinMiner.

O Kohli αναφέρει πως, από την αρχή του έτους, η SophosLabs ανακάλυψε 19 apps στο Google Play που έκρυβαν το βασισμένο σε Javascript πρόγραμμα εξόρυξης κρυπτονομισμάτων CoinHive. Παράλληλα, ερευνητές έχουν καταγράψει περισσότερα από 28 χιλιάδες παραλλαγές του κακόβουλου λογισμικού εξόρυξης κρυπτονομισμάτων Loapi, που κυκλοφόρησαν μεταξύ Ιούνη και Νοέμβρη του 2017.

Πως λειτουργεί το CoinHive

Το CoinHive πραγματοποιεί εξόρυξη Monero από web browser και ειδικά από το webview ενός app. Από τη στιγμή μάλιστα που αυτό το webview συχνά είναι αθέατο και το πρόγραμμα δεν ζητάει την άδεια σας για να αξιοποιήσει την επεξεργαστική ισχύ της συσκευής σας, ο χρήστης δεν είναι δυνατόν να δει τι συμβαίνει στην πραγματικότητα.

Είναι παρόλα αυτά δυνατό για το χρήστη να παρατηρήσει κάποια υστέρηση ή την αύξηση στη θερμοκρασία λειτουργίας της συσκευής, εξαιτίας της υψηλής χρήσης του επεξεργαστή από τον miner (το πρόγραμμα εξόρυξης κρυπτονομισμάτων).

Πως λειτουργεί το CoinMiner

Αυτός ο third-party miner χρησιμοποιεί μία έκδοση του cpumineron για να πραγματοποιήσει εξόρυξη Bitcoin ή Monero με τη χρήση της συσκευής του θύματος. O Pankaj Kohli εξηγεί ότι ο CoinMiner έχει βρεθεί κρυμμένος σε αλλοιωμένες ή παραβιασμένες εκδόσεις δημοφιλών εφαρμογών που βρίσκονται σε ιστοσελίδες τρίτων (και όχι στις επίσημες ιστοσελίδες τους).

Μία τέτοια ιστοσελίδα, προσφέρει apps που είναι συγκαλυμμένες ως installers δημοφιλών apps στο Google Play, όπως antivirus apps, games, utilities κ.ά.
Η άνοδος των CoinHive και CoinMiner έρχεται παράλληλα με την είσοδο ενός ακόμη κακόβουλου miner, που εντοπίζεται σε ιστοσελίδες τρίτων και έχει την ονομασία Loapi, και κρύβεται σε δημοφιλή antivirus ή σε apps περιεχομένου για ενήλικες.

“Κατεβάζει και εγκαθιστά διάφορα αρθρώματα, καθένα από τα ενεργεί με διαφορετικό κακόβουλο τρόπο, όπως να αποστέλλει πληροφορίες για τη συσκευή σε κάποιον απομακρυσμένο διακομιστή, να κλέβει μηνύματα SMS, να τραβάει διαφημίσεις στη συσκευή, να αποστέλλει στοιχεία για τις σελίδες που επισκέπτεται ο χρήστης, να δημιουργεί proxy ή να πραγματοποιεί mining του Monero. Το Sophos Mobile Security ανιχνεύει τις παραλλαγές ως Andr/Loapi.a και Andr/Loapi.A.

Πως η Sophos προστατεύει τους πελάτες της

Η SophosLabs ανιχνεύει τις παραλλαγές CoinMiner ως Andr/CoinMine-A και App/BtMiner-A. Οι περιπτώσεις του CoinHive ανιχνεύονται ως App/AndrCnhv-A και App/JSMiner.

Οι ιστοσελίδες που φιλοξενούν τα παραπάνω μπλοκάρονται πριν καν ο χρήστης “πέσει πάνω” σε κάποια από αυτά τα μολυσμένα sites.  Για να απολαύσετε όλα τα οφέλη της προηγμένης προστασίας της Sophos, οι κατεβάστε το Sophos Mobile Security, μία τεχνολογία Διαχείρισης Επιχειρησιακής Φορητότητας (EMM, Enterprise Mobility Management), η οποία εξειδικεύεται στην διασφάλιση των εταιρικών δεδομένων που βρίσκονται σε προσωπικές ή εταιρικές συσκευές.

Παλαιότερα, η SophosLabs ανίχνευε cryptominers ως PUAs ή ως Potentially Unwanted Applications, κάτι δεν σήμαινε αυτόματο καθαρισμό. Οι διαχειριστές αντιθέτως έβλεπαν ειδοποιήσεις για ανιχνεύσεις PUAs και είχαν τη δυνατότητα να επιλέξουν ανάμεσα από τρεις πιθανές ενέργειες: Καθαρισμό, Εξουσιοδότηση ή Αναγνώριση.

Παρόλα αυτά, αυτό άλλαξε το προηγούμενο μήνα καθώς η SophosLabs ξεκίνησε να βλέπει όλο και περισσότερο ύπουλη συμπεριφορά από τις παραλλαγές και τα ομοειδή του CoinHive. Δεδομένης της παρασιτικής φύσης αυτών των τύπων cryptominer, η SophosLabs τους χαρακτηρίζει ως κακόβουλο λογισμικό που μπλοκάρεται άμεσα μόλις οι χρήστες βρεθούν μπροστά από μία ιστοσελίδα που τους φιλοξενεί.

Η SophosLabs ανέφερε στην Google τις ανακαλύψεις της, και από τότε, η Google κατήργησε όλες τις εφαρμογές που παραβιάζουν τους κανόνες του Google Play.

Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.