Malware para Android explota Bitcoin, Dogecoin y Litecoin

Por el marzo 26, 2014
TrendMicro malware

TrendLabsLos usuarios de teléfonos y tablets con Android que adviertan de forma repentina que sus dispositivos se cargan lentamente, se calientan o se quedan sin batería en poco tiempo deberían considerar que podrían estar siendo víctimas de una nueva amenaza. Veo Zhang, analista de Amenazas Móviles de Trend Micro, ha analizado en su blog las características de esta nueva amenaza.

Recientemente, algunos investigadores han informado de que una nueva familia de malware para Android (detectada como ANDROIDOS_KAGECOIN.HBT) estaba minando la capacidad de cifrado de las monedas virtuales o criptodivisas. Trend Micro, según sus análisis, ha encontrado que este malware está involucrado en la explotación de  varias monedas digitales, incluyendo Bitcoin, Litecoin y Dogecoin. Esto tiene consecuencias reales para los usuarios: menor duración de la batería, mayor desgaste y deterioro, todo lo cual podría significar una vida más corta del dispositivo.

Los investigadores descubrieron originalmente ANDROIDOS_KAGECOIN en copias pirateadas de aplicaciones populares como Football Manager Handheld y TuneIn Radio. Las aplicaciones fueron programadas con el código de una aplicación de la CPU de cifrado de monedas Android legítima. Este código se basa en el software conocido como cpuminer. Para ocultar el código malicioso, los cibercriminales han modificado  parte de la app de Google Mobile Ads.

TrendMicro malware criptomonedas

La operación se inicia como un servicio de fondo una vez que se detecta que el dispositivo afectado está conectado a Internet. Por defecto, la CPU se conecta a un dominio dinámico, que luego se redirige a un grupo anónimo de minería Dogecoin.

El 17 de febrero, la red de móviles ha hecho ganar al cibercrimen miles de Dogecoins. Después del 17 de febrero, el cibercriminal cambió los pools de mineria. El malware está configurado para descargar un archivo que contiene información necesaria para actualizar la configuración del malware. Este archivo de configuración se actualizó y ahora se conecta al pool de minería conocida como WafflePool. Los Bitcoins se han pagado (es decir, trasladado a la cartera del cibercriminal) varias veces.

Las aplicaciones de extracción de monedas mencionadas estaban fuera de Google Play Store, pero Trend Micro ha encontrado el mismo comportamiento en aplicaciones dentro de Google Play Store. Estas aplicaciones han sido descargadas por millones de usuarios, lo que significa que puede haber muchos dispositivos Android que están siendo utilizados para la minería de criptodivisas por los ciberdelincuentes. Detectamos esta nueva familia de malware como ANDROIDOS_KAGECOIN.HBTB. (en el momento de la publicación de este texto, estas aplicaciones todavía están disponibles).

Analizando el código de estas aplicaciones se descubre el código de cifrado de extracción que está dentro. A diferencia de otras aplicaciones maliciosas, en estos casos la extracción sólo ocurre cuando el dispositivo se está cargando, pues es cuando el incremento de uso energía uso no se nota tanto.

La misma actualización lógica de la configuración está aquí presente. Analizando el archivo de configuración, parece que el cibercriminal está cambiando en extracción de Litecoins.

Veo Zhang cree que con miles de dispositivos afectados, el cibercriminal acumuló una gran cantidad de Dogecoins.

Según el lenguaje enmarañado de la descripción y los términos y condiciones de los websites de estas aplicaciones, los usuarios podrían ignorar que sus dispositivos pueden utilizarse potencialmente como dispositivos de robo.

Por muy bien diseñado que esté el ataque, el que lo ha llevado a cabo puede que no haya pensado en todo. Los teléfonos no tienen suficiente rendimiento para ser empleados como eficaces mineros. Los usuarios notarán rápidamente un comportamiento extraño– se cargan de forma lenta y se calientan mucho, haciendo la presencia del minero no particularmente discreta. Sí, es cierto que ganan dinero, pero a un ritmo glacial.

Trend Micro ya ha informado de este tema al equipo de seguridad de Google Play.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>