Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/03/2014
Els investigadors van trobar originàriament ANDROIDOS_KAGECOIN com a còpies piratejades d’aplicacions populars com Football Manager Handheld i TuneIn Radio. Les aplicacions van ser programades amb el codi d’una aplicació legítima de la CPU de xifratge de monedes Android . Este codi es basa en el programari conegut com cpuminer.
Per a ocultar el codi maliciós, els cibercriminals han modificat parte de l’app de Google Mobile Ads.
L’operació s’inicia com un servici de fons una vegada que es detecta que el dispositiu afectat està connectat a Internet. Per defecte, la CPU es connecta a un domini dinàmic, que després es dirigix a un grup anònim Dogecoin.
El 17 de febrer esta xarxa de mòbils va fer guanyar milers de Dogecoins al cibercrim. Després del 17 de febrer, el cibercrim va canviar. El programari maliciós està configurat per a descarregar un arxiu que conté informació necessària per a actualitzar la configuració del programari maliciós. Este arxiu de configuració es va actualitzar i ara es connecta a la pool coneguda com WafflePool. Els Bitcoins s’han pagat (és a dir, traslladat a cartera del cibercrim) diverses vegades.
Les aplicacions d’extracció de monedes mencionades eren de fora de Google Play Store, però hem trobat el mateix comportament en aplicacions dins de Google Play Store. Estes aplicacions han sigut descarregades per milions d’usuaris, la qual cosa significa que pot haver-hi molts dispositius Android sent utilitzats per a extraure xifratge de monedes per a ciberdelinqüents. Detectem esta nova família de programari maliciós com ANDROIDOS_KAGECOIN.HBTB. (en el moment de la publicació d’este apunt, estes aplicacions encara estan disponibles).
Analitzant el codi d’estes aplicacions es descobrix el codi de xifratge d’extracció. A diferència d’altres aplicacions malicioses, ací l’extracció només ocorre quan el dispositiu s’està carregant, perquè amb l'increment d’ús d'energia no es nota tant.
La mateixa lògica té l’actualització de configuració. Analitzant l’arxiu de configuració, pareix que el cibercriminal està canviant a Litecoins.
Creiem que amb milers de dispositius afectats, el cibercriminal acumula gran quantitat de Dogecoins.
Pel llenguatge embolicat dels termes i condicions dels sites web d’estes aplicacions, els usuaris poden ignorar que els seus dispositius són potencialment dispositius de robatori.
Però per molt ben dissenyat que estiga l’atac, el que ho ha dut a terme potser no haja pensat en tot. Els telèfons no tenen prou capacitat per a servir com a miners eficaços. Els usuaris notaran ràpidament un comportament estrany – es carreguen lentament i es calfen molt, i no fan particularment discreta la presència del miner. Sí, és cert que guanyen diners, però a un ritme glacial.
Els usuaris de telèfons i tauletes que sobtadament es carreguen lentament, es calfen, o es queden sense bateria haurien de considerar estar sent exposats a amenaces. També, només perquè una aplicació s’haja descarregat des d’una botiga d’aplicacions – inclús Google Play – no significa que siga segura.
Hem informat d’este tema a l’equip de seguretat de Google Play.