Pelo que parece, a prática do cryptojacking veio para ficar, e agora está a afetar todas as facetas da web. Se você não está entediado já de ler outro incidente em que os foi implementado o script CoinHive para que o navegador minere Monero pelas costas dos usuários, este artigo pode interessar você.
Coinhive encontrado dentro das aplicações Play Store
Esta notícia baseia-se em um relatório de 13 páginas publicado pela empresa de segurança cibernética Sophos. Segundo a empresa, seus engenheiros descobriram 19 aplicativos Android que foram carregados e disponibilizados através da Google Play Store oficial.
A Sophos diz que esses aplicativos estavam secretamente carregando uma instância do script Coinhive sem o conhecimento do usuário. Uma análise dos aplicativos mal-intencionados revelou que os autores dos aplicativos (acreditava-se que seja a mesma pessoa/grupo) escondiam o código de mineração JavaScript dentro de arquivos HTML na pasta apps/assets.
O código mal-intencionado executado quando o usuário inicia os aplicativos e eles etão abrem uma instância do navegador WebView (Android stripped-down). Em alguns casos, se os aplicativos não tiverem uma justificativa para a abertura de uma janela do navegador, o componente WebView se torna oculto e o código de mineração funcionará em segundo plano. Em outros casos, onde o aplicativo era um leitor de notícias ou um visualizador de tutorial, o código rodará ao longo do conteúdo legítimo do aplicativo enquanto o usuário estiver usando o aplicativo.
Um aplicativo tinha mais de 100.000 usuários
A Sophos descobriu esta técnica com 19 aplicativos publicados através de quatro contas de desenvolvedores. A maioria dos apps dificilmente chegou a 100-500 instalações, mas um aplicativo (extreme.action.wwe.wrestin) foi instalado entre 100.000 e 500.000 dispositivos. Esses aplicativos foram carregados na Play Store por volta do Natal e os pesquisadores da Sophos relataram todos os aplicativos para o Google que já removeu todos.
Uma lista de todos os 19 aplicativos carregados com Coinhive está disponível na página 7 do relatório do Sophos e os usuários podem rever a lista e ver se eles instalaram alguma das aplicações em seus dispositivos.
A Sophos identificou 10 outros aplicativos que realizam mineração escondida
Na página 10, há outra lista de aplicativos mal-intencionados, mas estes não carregaram o mineirador Coinhive JavaScript mas, em vez disso, incorporaram a biblioteca cpuminer nativa para mineração Bitcoin e Litecoin. A Sophos apelidou este malware de CoinMiner e diz que o achou embutido em 10 aplicativos disponibilizados através do site coandroid.ru, uma loja de aplicativos para Android de terceiros.
O perigo de criptografia para dispositivos móveis
Embora muitos sites de notícias estejam saturados com artigos sobre a mineração ilegal de criptomoeadas, os usuários devem estar cientes de que a criptografia de mineração em seu smartphone pode danificar o dispositivo permanentemente, como os pesquisadores da Kaspersky provaram no mês passado quando descobriram o malware do Android Loapi.
Mas os usuários não precisam instalar aplicativos maliciosos em seus dispositivos para serem afetados. Ontem, pesquisadores de segurança da Malwarebytes anunciaram que descobriram uma campanha de “malvertising” destinada aos usuários da Internet que utilizam navegadores móveis Android.
A campanha usou código malicioso escondido em anúncios para redirecionar usuários para sites onde os criminosos estavam mineirando o Monero (via Coinhive) enquanto o usuário estava tentando resolver um campo CAPTCHA. O usuário não precisou instalar um aplicativo para ser afetado, e apenas navegar na web foi suficiente para ser afetado.
Enquanto os computadores de mesa podem suportar o estresse de hardware que vem com a mineração de criptografia, os dispositivos móveis, como smartphones e tablets, são mais frágeis e podem arriscar danos permanentes, especialmente para suas baterias, o que pode sobreaquecer a ponto de se deformar.