El malware explota las monedas virtuales en dispositivos Android
Los teléfonos y las tablets que se repentinamente se quedan sin batería en poco tiempo, cargan lentamente, o se calientan pueden estar afectados, según Trend Micro.
Los investigadores han descubierto una nuevo tipo de malware para Android (ANDROIDOS_KAGECOIN) que afecta al cifrado de las monedas virtuales, ayudando a su explotación. Su actividad está afectando a la explotación de varias monedas digitales, entre las que se encuentran Dogecoin, Bitcoin y Litecoin, según ha informado Veo Zhang, analista de Trend Micro. Esto se traduce en que duración de la batería del dispositivo usuario sea mucho menor, así como un mayor desgaste y deterioro.
Se ha detectado el malware en copias pirateadas de aplicaciones populares como Tuneln Radio o Football Manager Handheld. Las aplicaciones fueron programadas con el código de una aplicación de la CPU de cifrado de monedas Android legítima. Este código se basa en el software conocido como cpuminer.
Para ocultar el código malicioso, los cibercriminales modifican parte de la app de Google Mobile Ads, empezando con la modificación del código. La operación se inicia como un servicio de fondo una vez que se detecta que el dispositivo afectado está conectado a Internet. Por defecto, la CPU se conecta a un dominio dinámico, que luego se redirige a un grupo anónimo de mimería Dogecoin. El malware está configurado para descargar un archivo que contiene información necesaria para actualizar la configuración del malware. Este archivo de configuración se actualizó y ahora se conecta alpool de minería conocida como WafflePool. Los Bitcoins se han pagado (es decir, trasladado a la cartera del cibercriminal) varias veces.
En lo que se refiere al código de configuración de pool de monedas, las aplicaciones de extracción de monedas mencionadas estaban fuera de Google Play Store, pero Trend Micro ha encontrado el mismo comportamiento en aplicaciones dentro de Google Play Store. Estas aplicaciones han sido descargadas por millones de usuarios, lo que significa que puede haber muchos dispositivos Android que están siendo utilizados para la minería de criptodivisas por los ciberdelincuentes. Detectamos esta nueva familia de malware como ANDROIDOS_KAGECOIN.HBTB.
Después intervienen las aplicaciones de extración de Google Play. A continuación, analizando el código de estas aplicaciones se descubre el código de cifrado de extracción que está dentro. A diferencia de otras aplicaciones maliciosas, en estos casos la extracción sólo ocurre cuando el dispositivo se está cargando, pues es cuando el incremento de uso energía uso no se nota tanto. Y entonces se interviene con el código de extracción de cifrado de monedas.
Dado el complicado lenguaje y los términos y condiciones de los websites de estas aplicaciones, los usuarios podrían ignorar que sus dispositivos podrían ser usados para el robo. Pese a ello, notarán rápidamente un comportamiento extraño, los atacantes ganan dinero pero de manera muy lenta.
Según esto, hay que mantener la alerta, una aplicación se haya descargado desde una tienda de aplicaciones (incluso Google Play) podría no ser tan segura como parece.
