Recientemente, algunos investigadores han informado de que una nueva familia de malware para Android (detectada como ANDROIDOS_KAGECOIN.HBT) estaba minando la capacidad de cifrado de las monedas virtuales o criptodivisas. Trend Micro, según sus análisis, ha encontrado que este malware está involucrado en la explotación de varias monedas digitales, incluyendo Bitcoin, Litecoin y Dogecoin. Esto tiene consecuencias reales para los usuarios: menor duración de la batería, mayor desgaste y deterioro, todo lo cual podría significar una vida más corta del dispositivo.
Los investigadores descubrieron originalmente ANDROIDOS_KAGECOIN en copias pirateadas de aplicaciones populares como ‘Football Manager Handheld’ y ‘TuneIn Radio’. Las aplicaciones fueron programadas con el código de una aplicación de la CPU de cifrado de monedas Android legíta. Este código se basa en el software conocido como cpuminer.
Para ocultar el código malicioso, los cibercrinales han modificado parte de la app de Google Mobile Ads, tal como se indica:
1. Código modificado de Google Mobile Ads
La operación se inicia como un servicio de fondo una vez que se detecta que el dispositivo afectado está conectado a Intet. Por defecto, la CPU se conecta a un dominio dinámico, que luego se redirige a un grupo anóno de mería Dogecoin.
El 17 de febrero, la red de móviles ha hecho ganar al cibercren miles de Dogecoins. Después del 17 de febrero, el cibercrinal cambió los ‘pools’ de mineria. El malware está configurado para descargar un archivo que contiene información necesaria para actualizar la configuración del malware. Este archivo de configuración se actualizó y ahora se conecta al pool de minería conocida como WafflePool. Los Bitcoins se han pagado (es decir, trasladado a la cartera del cibercrinal) varias veces.
2. Código de configuración de pool de monedas
Las aplicaciones de extracción de monedas mencionadas estaban fuera de Google Play Store, pero Trend Micro ha encontrado el mismo comtamiento en aplicaciones dentro de Google Play Store. Estas aplicaciones han sido descargadas millones de usuarios, lo que significa que puede haber muchos dispositivos Android que están siendo utilizados para la minería de criptodivisas los ciberdelincuentes. Detectamos esta nueva familia de malware como ANDROIDOS_KAGECOIN.HBTB. (en el momento de la publicación de este texto, estas aplicaciones todavía siguen están disponibles).
3. Apps de extracción in Google Play
4. Cuenta de descarga de apps de extracción
Analizando el código de estas aplicaciones se descubre el código de cifrado de extracción que está dentro. A diferencia de otras aplicaciones maliciosas, en estos casos la extracción sólo ocurre cuando el dispositivo se está cargando, pues es cuando el incremento de uso energía uso no se nota tanto.
5. Código de extracción de cifrado de monedas
La misma actualización lógica de la configuración está aquí presente. Analizando el archivo de configuración, parece que el cibercrinal está cambiando en extracción de Litecoins.
6. Archivo de configuración, que muestra el cambio a robo de LiteCoin
Creemos que con miles de dispositivos afectados, el cibercrinal acumuló una gran cantidad de Dogecoins.
Según el lenguaje enmarañado de la descripción y los términos y condiciones de los websites de estas aplicaciones, los usuarios podrían ignorar que sus dispositivos pueden utilizarse potencialmente como dispositivos de robo.
Por muy bien diseñado que esté el ataque, el que lo ha llevado a cabo puede que no haya pensado en todo. Los teléfonos no tienen suficiente rendiento para ser empleados como eficaces mineros. Los usuarios notarán rápidamente un comtamiento extraño– se cargan de forma lenta y se calientan mucho, haciendo la presencia del minero no particularmente discreta. Sí, es cierto que ganan dinero, pero a un ritmo glacial.
Los usuarios de teléfonos y tablets que de pronto noten que se cargan lentamente, se calientan, o se queden sin batería deberían considerar que están siendo expuestos a amenazas. Igualmente, sólo que una aplicación se haya descargado desde una tienda de aplicaciones – incluso Google Play – no significa que sea segura.
Trend Micro ya ha informado de este tema al equipo de seguridad de Google Play.
Si desea más información visite el blog de Trend Micro en http://blog.trendmicro.com/trendlabssecurityintelligence/mobilemalwareminesdogecoinsandlitecoinsforbitcoinpayout/ y http://blog.trendmicro.es/
