Un generador de criptomonedas en el bolsillo

Estudio de las aplicaciones móviles para criptominería oculta

Estos últimos meses el tema de las criptomonedas no abandona las páginas de los medios de comunicación. La tasa de cambio del dinero digital sufre variaciones constantes: un momento establece nuevos records y otro vuelve a los valores de hace muchos meses de la manera más vertiginosa. Los delincuentes, por supuesto, no dejan de aprovechar un tema tan candente, así que las noticias sobre la fluctuación en el tipo de cambio de las criptomonedas van junto a las noticias sobre robos en las bolsas, la extorsión de criptomonedas y, por supuesto, el uso subrepticio de capacidades de procesamiento ajenas para extraer dinero digital, es decir, para la criptominería. Vemos que los delincuentes ya no se limitan a servidores, computadoras y computadoras portátiles: ahora están prestando cada vez más atención a los dispositivos móviles, sobre todo a la plataforma Android. Decidimos estudiar la situación con más detalle y ver qué aplicaciones móviles extraen de manera silenciosa dinero digital en los dispositivos de los usuarios y qué tan difundidas están.

Aplicaciones falsificadas primitivas

Pudimos descubrir algunos programas maliciosos que se hacen pasar por programas y juegos populares, pero que en realidad muestran publicidad al usuario y, sin que lo sepa, se dedican a la minería de criptomonedas mediante el SDK CoinHive. En particular, encontramos versiones falsas de Instagram, Netflix, Bitmoji y otras aplicaciones. Los delincuentes añadían la palabra “hack” al nombre original. Estas aplicaciones “hackeadas” se distribuían a través de foros y tiendas de terceros. Los productos de Kaspersky Lab detectan estos programas como RiskTool.AndroidOS.Miner.

Fragmento del código de RiskTool.AndroidOS.Miner.a, responsable de iniciar la minería y de mostrar la página publicitaria

Página publicitaria que RiskTool.AndroidOS.Miner.a muestra al usuario

Mineros primitivos basados en marcos web

Existen varios marcos web que facilitan la creación de aplicaciones móviles, entre ellas de criptominería. Estos programas se basan en una página web que contiene un script JS de criptominería (por ejemplo, el script CoinHive). Entre los programas de minería de este tipo, la mayoría se basaban en los marcos Thunkable y Cordova. La mayoría de las veces estas aplicaciones se distribuyen a través de sitios de terceros, pero también los encontramos una en la tienda oficial de Google Play. De inmediato informamos de nuestro hallazgo a Google, que eliminó el programa de minería.

Captura de pantalla de un juego en la tienda Google Play, que extraía criptomonedas para sus creadores

También encontramos una aplicación desarrollada en otro marco llamado Andromo. Luce como un agregador de descuentos, pero en vez de conducir a la página de venta del producto, lleva a una página que se dedica a la generación de criptomonedas, y no hace ningún esfuerzo por camuflarse:

Destacamos otra aplicación llamada Crypto Mining for Children, basada en B4A y que se encontraba en la tienda oficial de Google (en el momento de escribir este artículo ya la habían eliminado). Su objetivo declarado es la criptominería para fines benéficos, pero en la descripción no había ni una palabra sobre los fondos con los que trabajan los creadores, la forma en que gastan el dinero recibido, etc. Es decir, toda la información que publican las organizaciones serias de recaudación de fondos. Por otra parte, el nombre del desarrollador es muy similar al nombre de una famosa aplicación móvil (un monedero de criptomonedas), pero con una ligera diferencia: le falta una letra, un truco muy usado por los delincuentes.

Aplicaciones útiles infectadas por aplicaciones de criptominería

Esta categoría incluye los programas que los productos de Kaspersky Lab detectan como Trojan.AndroidOS.Coinge y son aplicaciones populares en las que los delincuentes han agregado código malicioso que ejecuta la extracción de criptomonedas.

Versión infectada de la aplicación TSF Launcher

Es curioso que los delincuentes hayan agregado este código malicioso al código de los SDK adicionales utilizados por la aplicación. De esta forma, la aplicación inicia la ejecución de una biblioteca dedicada a la criptominería. Además, logramos encontrar una modificaciones de este troyano, en el que los atacantes se las arreglaron sin una biblioteca de criptominería: el malware agrega su código a todas las páginas web que va abriendo. Es interesante que ambos métodos de infección son similares a los utilizados por los delincuentes para robar contraseñas en el troyano Trojan-PSW.AndroidOS.MyVk .

Una de las modificaciones de Trojan.AndroidOS.Coinge agrega un código de minería a todas las páginas web que abre

Pudimos detectar 23 aplicaciones diferentes infectadas con Trojan.AndroidOS.Coinge.

Aplicaciones de minería en aplicaciones para ver fútbol

Según Kaspersky Security Network, las aplicaciones de criptominería más populares descubiertas estaban relacionadas con el fútbol. En sus nombres a menudo se encuentra la marca PlacarTV (placar significa “cuenta” en portugués), o algo similar, y su función principal es mostrar videos de fútbol y mientras en secreto se dedica a la minería de criptomonedas.

La aplicación PlacarTV utiliza CoinHive para la minería

Interfaz de la aplicación PlacarTV

Según nuestros datos, algunas de estas aplicaciones se distribuyeron a través de la tienda Google Play, y la más popular que conocimos se instaló más de 100 000 veces. Mientras escribíamos este artículo, todas las aplicaciones infectadas ya habían sido eliminadas de la tienda oficial.

Una de las modificaciones de la aplicación PLACARTV que se propagaba a través de la tienda Google Play

Las aplicaciones envían solicitudes al servidor placartv.com, el mismo dominio que se utiliza en la dirección de correo electrónico del desarrollador presente en la descripción de la página de Google Play. En el sitio placartv.com funciona un script que genera criptomonedas sin que el visitante se dé cuenta.

Código de la página placartv.com, que el sitio web usa para generar criptomonedas

Generadores móviles de clics

Por lo general, los miembros de la familia de malware Trojan-Clicker abren páginas web y hacen clic en ellas sin llamar la atención de los usuarios Las páginas pueden contener tanto anuncios como suscripciones a servicios WAP. Pero al parecer, una vez que se empieza a ganar dinero con usuarios desprevenidos, ya es difícil detenerse, así que no nos sorprende que se haya agregado la extracción de criptomonedas a las funciones de algunos generadores de clics. Ya hemos analizado un caso similar: entonces detectamos una aplicación de minería entre los módulos del troyano Loapi.

Otro troyano que se dedica a la minería es Ubsob. Este malware se hace pasar por diferentes aplicaciones útiles y cuando se ejecuta puede descargar e instalar la aplicación que pretende ser. Los atacantes aumentaron las posibilidades de su criatura al agregarle código tomado de la aplicación de criptominería Neoneonminer.

Instalación de la aplicación original, iniciada por el troyano Ubsob

Además, el troyano pide derechos de administrador del dispositivo para afianzarse en el sistema. Como resultado, para deshacerse de él, primero hay que eliminarlo de la lista de administradores del dispositivo. En el proceso, el malware mostrará un mensaje amedrentador:

Mensaje mostrado por el troyano Ubsob cuando se le intenta quitar los derechos de administrador: “Esta acción puede provocar que se eliminen todos los datos del dispositivo al reiniciarlo. ¿De verdad desea eliminar todos los datos?

El “hábitat” del troyano es la Comunidad de Estados Independientes CIS, sobre todo Rusia.

Otros hallazgos interesantes

Criptominero con protección contra incendios

Quizá el troyano que descubrimos cuando escribimos este artículo y cuyo análisis resultó más interesante es Trojan.AndroidOS.Coinge.j. No posee ninguna de las funciones útiles de una aplicación legítima, y se instala como una aplicación de pornografía o como la aplicación de sistema Android Service. Tan pronto como empieza a ejecutarse, el malware solicita derechos de administrador del dispositivo para impedir su posterior eliminación.

Trojan.AndroidOS.Coinge.j pide privilegios de administrador del dispositivo

El troyano utiliza varias capas de cifrado y ofuscación para proteger su código del análisis, pero sus peculiaridades no terminan con esto. El malware puede monitorear la carga de la batería y la temperatura del dispositivo para extraer criptomonedas con menos riesgo para el aparato. Al parecer, los intrusos no quieren repetir el “éxito” del troyano Loapi, que destruyó nuestro teléfono de prueba.

Casi un tercio (29%) de los usuarios atacados por estos troyanos estaban en la India. Además, el troyano está activo en los Estados Unidos (8%), el Reino Unido (6%), Irán (5%) y Ucrania (5%). Cabe señalar que para generar las criptomonedas utiliza el código de la aplicación “pura”, al igual que el troyano Ubsod.

VPN con características no documentadas

Otro programa de criptominería, capaz de monitorear la temperatura y carga del dispositivo lo encontramos en la tienda de Google Play, donde se hacía pasar por Vilny.net VPN, una aplicación para crear conexiones VPN. En el momento de la detección, se había instalado más de 50 000 veces. Lo reportamos a Google.

Código de la aplicación Vilny.net VPN

Información sobre la aplicación Vilny.net VPN en la tienda Google Play

Conclusión

Recordemos que la criptominería móvil tiene una serie de limitaciones:

  • En primer lugar, el rendimiento de los dispositivos móviles está muy por debajo del rendimiento de los sistemas de escritorio, y aún más de las granjas especiales para minería, lo que hace que la extracción de dinero digital en dispositivos móviles no sea muy rentable.
  • En segundo lugar, al hacer un uso activo de los recursos de dispositivos móviles, éstos comienzan a calentarse mucho, poniendo al descubierto la actividad del programa de criptominería.
  • Finalmente, la relativa poca capacitad de la batería de los teléfonos inteligentes hace que la extracción no solo se haga más perceptible para el usuario, sino también limitada en el tiempo: con el uso activo de la potencia de procesamiento del dispositivo, la batería se descarga en un dos por tres.

Sin embargo, nuestra investigación ha demostrado que estas restricciones no detienen a los delincuentes. Hemos descubierto una gran cantidad de criptomineros móviles, basados en diferentes marcos y distribuidos de varias maneras, entre ellas mediante la tienda oficial Google Play. Es posible que el cálculo de los atacantes sea compensar la falta de rendimiento del dispositivo móvil con su gran número, y la facilidad de detección del criptominero móvil con una infección relativamente simple.

MD5

F9C4A28284CD7A4534A1102C20F04C9D
B32DBBFBB0D4EC97C59B50D29DDAAA2D
2D846265F6569547490FCB38970FC93E
6E1FDFBDAB69090FEA77B3F2F33098A8
5464647B09D5F2E064183A073AE97D7B
5B7324C165EE6AF26CDA55293DAEACDF
E771099ACA570F53A94BE713A3C2ED63
3062659C25F44EEA5FE8D3D85C99907D
AEBB87E9AEA464EFB6FCC550BF7D2D38
38CE6C161F87345B773795553AAE2C28
CA3E7A442D5A316DA9ED8DB3C4D913A7
34F43BAAFAEBDAC4CC582E1AAACF26BD
F8DE7065A7D9F191FD0A53289CDB959B
34EB1FFDC8D9D5DD3C32A0ACC4995E29
020A9064D3819A0293940A4F0B36DD2A
EE78507A293D007C47F3D2D471AAD013
0E129E2F4EA3C09BFB0C4841E173580C
50BF20954B8388FA3D5E048E6FA493A9

Publicaciones relacionadas

Leave a Reply

Your email address will not be published. Required fields are marked *