I SophosLabs continuano a riscontrare un aumento dei cryptominers basati su web che sfruttano subdolamente la potenza di elaborazione dei computer delle vittime mentre scavano per trovare la valuta digitale. Gli ultimi esempi riguardano i dispositivi Android tramite applicazioni contaminate presenti su Google Play.
Le scoperte riguardanti tali azioni fraudolente sono descritte in un nuovo documento scritto da Pankaj Kohli, un ricercatore che si occupa di minacce informatiche del nostro team di Sydney.
Il malware del mining che interessa Android è suddivisa in due categorie nel documento: miner nel browser di JavaScript e moduli di mining di terze parti, quali CoinMiner.
Kohli riferisce che, dall’inizio dell’anno, SophosLabs ha scoperto 19 applicazioni presenti su Google Play che nascondevano il programma di mining CoinHive basato su JavaScript. Nel frattempo, i ricercatori hanno registrato più di 28.000 varianti di minacce di tipo Loapi mining diffuse, che sono state rilasciate tra giugno e novembre 2017.
Come funzona Coinhive
CoinHive esegue il mining all’interno di Monero da un browser web, in particolare il visualizzatore di pagine web dell’applicazione. Poichè tale visualizzatore di pagine web è spesso nascosto e il programma non richiede il permesso di sfruttare la potenza di elaborazione del dispositivo, l’utente non si accorge di nulla di ciò che accade . L’utente può tuttavia notare la lentezza e l’aumento della temperatura del dispositivo, a causa dell’uso costantemente elevato della CPU da parte del miner.
Come funziona CoinMiner
Questo miner di terze parti utilizza una versione di cpumineron per scavare al fine di carpire BitCoin o Monero sul dispositivo di una vittima. Kohli spiega che CoinMiner è stato trovato nascosto in versioni manomesse di applicazioni popolari su siti Web di terzi. Uno di questi siti offre app camuffate come programmi di installazione per le applicazioni più diffuse disponibili su Google Play, come antivirus, giochi, utilità e altro ancora.
L’ascesa di CoinHive e CoinMiner arriva sulla scia di un altro miner fraudolento trovato su siti di terze parti chiamati Loapi, che si presenta come popolare antivirus e applicazione per contenuti destinati agli adulti. Scarica e installa diversi moduli, ognuno dei quali esegue diverse azioni dannose, come l’invio di informazioni sui dispositivi a un server remoto, il furto di SMS, l’inserimento di annunci pubblicitari, la scansione di pagine Web, la creazione di un proxy e l’estrazione di Monero. Sophos Mobile Security (SMSec) rileva questi come Andr / Loapi.a e Andr / Loapi.B..
Come Sophos protegge i clienti
SophosLabs rileva le varianti CoinMiner come Andr / CoinMine-A e App / BtMiner-A. I casi CoinHive sono rilevati come App / AndrCnhv-A e App / JSMiner. I siti che ospitano i suddetti sono bloccati prima che l’utente possa imbattersi in pagine contaminate.
Per ricevere tale protezione, invitiamo gli utenti a scaricare Sophos Mobile Security, una tecnologia di Gestione della Mobilità Aziendale (in sigla EMM) specializzata nella salvaguardia delle informazioni aziendali presenti sui dispositivi personali e aziendali.
In precedenza abbiamo rilevato i cryptominer come PUA (Applicazioni potenzialmente indesiderate), il che significava nessuna pulizia automatica. Gli amministratori sono stati invece destinatari di avvisi per i rilevamenti PUA e potevano scegliere manualmente tra tre opzioni possibili: Pulizia, Autorizzazione o Riconoscimento.
Tuttavia, questo è cambiato il mese scorso quando SophosLabs ha iniziato a riscontrare comportamenti sempre più subdoli da parte di script di estrazione simili a CoinHive. Data la natura parassitaria di questi tipi di cryptominer, ora li etichettiamo come minaccia da bloccare quando gli utenti si imbattono in un sito che li ospita.
I SophosLabs hanno trasmesso le ultime scoperte a Google, che da allora ha rimosso le applicazioni fraudolente da Google Play.
*Tratto dall’articolo Cryptominers on Google Play: how Sophos protects customers di Bill Brenner.