| 0 |
|
Эксперты «Лаборатории Касперского» изучили мобильные приложения для майнинга криптовалют, которые набирают все большую популярность. Как отмечают в компании, злоумышленники уже не ограничиваются серверами, компьютерами и ноутбуками для внедрения скрытых майнинговых скриптов: они все чаще обращают внимание на мобильные устройства, в основном — на платформе Android.
Экспертам удалось обнаружить несколько зловредов, выдающих себя за популярные программы и игры, но на деле просто показывающих пользователю рекламу и добывающих втайне от него криптовалюты с помощью SDK CoinHive. В частности, обнаружены поддельные версии Instagram, Netflix, Bitmoji и других приложений. К оригинальному названию злоумышленники добавляли слово «hack». Распространялись такие «взломанные» приложения через форумы и сторонние магазины.
Существует несколько веб-фреймворков, позволяющих легко создавать мобильные приложения, в том числе майнеры. В основе таких программ — веб-страница, содержащая JS-скрипт для добычи криптовалюты (например, скрипт CoinHive). Среди найденных майнеров этого типа большинство было основано на фреймворках Thunkable и Cordova. Чаще всего такие приложения распространяют через сторонние площадки, хотя одно из них находилось в официальном магазине Google Play. Этот майнер уже удален.
Исследователи нашли и полезные приложения, зараженные майнерами. В эту категорию попали программы, которые продукты «Лаборатории Касперского» детектируют как Trojan.AndroidOS.Coinge — популярные приложения, в которые злоумышленники добавили вредоносный код, запускающий майнинг криптовалюты. Всего удалось обнаружить 23 различных приложения, зараженных Trojan.AndroidOS.Coinge.
По данным Kaspersky Security Network, самые популярные приложения-майнеры оказались связаны с футбольной тематикой. В их названиях часто встречается PlacarTV (placar — «счет» на португальском) или что-то похожее, а основная их функция — показывать видеоролики на футбольную тематику и втайне майнить криптовалюту. Часть этих приложений распространялась через магазин Google Play, а самое популярное из известных установили более 100 000 раз. На момент подготовки этой статьи все зараженные приложения уже удалили из официального магазина.
Приложения обращаются к серверу placartv.com, и тот же домен использован в электронном адресе разработчиков, указанном в описании на странице в Google Play. На сайте placartv.com работает скрипт, который незаметно для посетителя добывает криптовалюты.
Обычно представители зловредов семейства Trojan-Clicker открывают веб-страницы и незаметно для пользователя прокликивают их. Страницы могут содержать как рекламу, так и подписки на WAP-сервисы. К функциям некоторых кликеров была добавлена добыча криптовалюты. В их числе находятся Loapi и Ubsob.
Наверное, самый интересный для анализа троянец, который попался экспертам, — это Trojan.AndroidOS.Coinge.j. Он не обладает никакими полезными функциями легитимного приложения, а при установке выдает себя либо за порно-приложение, либо за системное приложение Android Service. Сразу после запуска зловред запрашивает права администратора устройства, чтобы противодействовать удалению. Троянец использует несколько слоев шифрования и обфускации для защиты своего кода от анализа, но на этом его особенности не заканчиваются. Зловред может отслеживать заряд батареи и температуру устройства, чтобы добывать криптовалюту с меньшими рисками для аппарата. По всей видимости, злоумышленники не хотят повторить «успех» троянца Loapi, уничтожившего тестовый телефон.
Практически треть (29%) атакованных этим троянцем пользователей находились в Индии. Кроме того, троянец активен в США (8%), Великобритании (6%), Иране (5%) и Украине (5%). Стоит отметить, что для майнинга он использует код «чистого» приложения, как и троянц Ubsod.
Еще один майнер, способный отслеживать температуру и заряд устройства, обнаружен в магазине Google Play под видом приложения Vilny.net VPN для создания VPN-соединения. На момент обнаружения оно было установлено более 50 000 раз. Компания сообщила о нем в Google.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
