Malware de móviles obtiene Dogecoins y Litecoins para acabar recibiendo Bitcoins

Por Veo Zhang (Analista de amenazas móviles)

Recientemente, algunos investigadores reportaron que malware de la familia Android (detectado como ANDROIDOS_KAGECOIN.HBT) minaba las capacidad de cifrado de las monedas. Según nuestro análisis  este malware está involucrado en  varias monedas digitales, incluyendo Bitcoin, Litecoin y Dogecoin. Esto tiene consecuencias reales para los usuarios: corta duración de la batería, mayor desgaste, todo lo cual podría significar una vida más corta del dispositivo.

Los investigadores encontraron originalmente ANDROIDOS_KAGECOIN como copias pirateadas de aplicaciones populares como Football Manager Handheld y TuneIn Radio. Las aplicaciones fueron programadas con el código de una aplicación legítima de la CPU de cifrado de monedas Android . Este código se basa en el software conocido como cpuminer.

Para ocultar el código malicioso, los cibercriminales han modificado parte de la app de Google Mobile Ads, tal como se indica:

1

1. Código modificado de Google Mobile Ads

La operación se inicia como un servicio de fondo una vez que se detecta que el dispositivo afectado está conectado a Internet. Por defecto, la CPU se conecta a un dominio dinámico, que luego se dirige a un grupo anónimo Dogecoin.

El 17 de febrero esta red de móviles hizo ganar miles de Dogecoins al cibercrimen. Después del 17 de febrero, el cibercrimen cambió. El malware está configurado para descargar un archivo que contiene información necesaria para actualizar la configuración del malware. Este archivo de configuración se actualizó y ahora se conecta a la pool conocida como WafflePool. Los Bitcoins se han pagado (es decir, trasladado a cartera del cibercrimen) varias veces.

2

2. Código de configuración de pool de monedas

Las aplicaciones de extracción de monedas mencionadas eran de fuera de Google Play Store, pero hemos encontrado el mismo comportamiento en aplicaciones dentro de Google Play Store. Estas aplicaciones han sido descargadas por millones de usuarios, lo que significa que puede haber muchos dispositivos Android siendo utilizados para extraer cifrado de monedas para ciberdelincuentes. Detectamos esta nueva familia de malware como ANDROIDOS_KAGECOIN.HBTB. (en el momento de la publicación de este post, estas aplicaciones aún están disponibles).

3

3. Apps de extracción in Google Play

 4

4. Cuenta  de descarga de apps de extracción

Analizando el código de estas aplicaciones se descubre el código de cifrado de extracción. A diferencia de otras aplicaciones maliciosas, aquí la extracción sólo ocurre cuando el dispositivo se está cargando, porque con el incremento de uso energía no se nota tanto.

5

5. Código de extracción de cifrado de monedas

La misma lógica tiene la actualización de configuración. Analizando el archivo de configuración, parece que el cibercriminal está cambiando a Litecoins.

6

6. Archivo de configuración, que muestra el cambio a LiteCoin

Creemos que con miles de dispositivos afectados, el cibercriminal acumula gran cantidad de Dogecoins.

Por el lenguaje enmarañado de los términos y condiciones de los sites web de estas aplicaciones, los usuarios pueden ignorar que sus dispositivos son potencialmente dispositivos de robo.

Pero por muy bien diseñado que esté el ataque, el que lo ha llevado a cabo puede que no haya pensado en todo. Los teléfonos no tienen suficiente capacidad para servir como eficaces mineros. Los usuarios notarán rápidamente un comportamiento extraño– se cargan lentamente y se calientan mucho, haciendono particularmente discreta la presencia del minero . Sí, es cierto que ganan dinero, pero a un ritmo glacial.

Los usuarios de teléfonos y tablets que repentinamente se carguen lentamente, se calienten, o se queden sin batería deberían considerar estar siendo expuestos a amenazas. También, sólo porque una aplicación se haya descargado desde una tienda de aplicaciones – incluso Google Play – no significa que sea segura.

Hemos informado de este tema al equipo de seguridad de Google Play.

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.