Bösartiger Kryptowährungs-Miner in Google Play

Originalartikel von Jason Gu, Veo Zhang, Seven Shen, Mobile Threat Response Team

Ob Mobilgeräte für das Mining größerer Mengen Kryptowährung besonders effizient sind, ist nicht eindeutig zu beantworten. Doch die Auswirkung derartiger Aktivitäten auf die Nutzer der betroffenen Geräte ist klar: geringere Performance, kürzere Akkulaufzeiten sowie ein höherer Verschleiß. Kürzlich fanden die Sicherheitsforscher von Trend Micro Apps (ANDROIDOS_JSMINER und ANDROIDOS_CPUMINER) mit bösartigen Mining-Fähigkeiten für Kryptowährung in Google Play. Diese Apps können dynamisch JavaScripts laden und nativen Code einschleusen, um der Entdeckung zu entgehen.

Es ist nicht der erste Fund dieser Art in App Stores. Bereits vor ein paar Jahren fanden die Forscher bösartige Apps in Google Play (ANDROIDOS_KAGECOIN, eine Schadsoftwarefamilie mit versteckten Fähigkeiten zum Mining von Kryptowährung.

ANDROIDOS_JSMINER: Mining via Coinhive

Schon früher gab es den Tech Support-Betrug und kompromittierte Websites, die dazu verwendet wurden, um den Coinhive JavaScript Kryptowährungs-Miner bei Nutzern abzulegen. Nun gibt es Apps (ANDROIDOS_JSMINER) für diesen Zweck. Mit einer davon sollen Nutzer den Rosenkranz beten, die andere bietet Sonderangebote verschiedener Art.

Bild 1. JSMINER Malware in Google Play

Beide Beispiele führen dasselbe aus, sobald sie gestartet werden: Sie laden den JavaScript-Bibliothekscode von Coinhive und starten das Mining mit dem Schlüssel der eigenen Site des Angreifers. Der Code läuft innerhalb der Webview der App, ist aber für den Nutzer nicht sichtbar, weil die Webview standardmäßig auf unsichtbar gestellt ist.

Bild 2. Webview läuft im „invisible“-Modus

Während der Code ausgeführt wird, ist die CPU-Belastung außergewöhnlich hoch.

ANDROIDOS_CPUMINER: Trojanisierte Versionen der legitimen Apps

Eine weitere Familie bösartiger Apps fügt legitimen Versionen Mining-Bibliotheken hinzu, die dann neu gepackt und verteilt werden. Es handelt sich um ANDROIDOS_CPUMINER. Bei einer dieser Versionen geht es um eine Wallpaper-Anwendung:


Bild 3. Mining Malware in Google Play

Weitere Details bietet der Originalartikel. Ebenso liefert der Artikel die Indicators of Compromise.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*