Originalartikel von Jason Gu, Veo Zhang, Seven Shen, Mobile Threat Response Team
Ob Mobilgeräte für das Mining größerer Mengen Kryptowährung besonders effizient sind, ist nicht eindeutig zu beantworten. Doch die Auswirkung derartiger Aktivitäten auf die Nutzer der betroffenen Geräte ist klar: geringere Performance, kürzere Akkulaufzeiten sowie ein höherer Verschleiß. Kürzlich fanden die Sicherheitsforscher von Trend Micro Apps (ANDROIDOS_JSMINER und ANDROIDOS_CPUMINER) mit bösartigen Mining-Fähigkeiten für Kryptowährung in Google Play. Diese Apps können dynamisch JavaScripts laden und nativen Code einschleusen, um der Entdeckung zu entgehen.
Es ist nicht der erste Fund dieser Art in App Stores. Bereits vor ein paar Jahren fanden die Forscher bösartige Apps in Google Play (ANDROIDOS_KAGECOIN, eine Schadsoftwarefamilie mit versteckten Fähigkeiten zum Mining von Kryptowährung.
ANDROIDOS_JSMINER: Mining via Coinhive
Schon früher gab es den Tech Support-Betrug und kompromittierte Websites, die dazu verwendet wurden, um den Coinhive JavaScript Kryptowährungs-Miner bei Nutzern abzulegen. Nun gibt es Apps (ANDROIDOS_JSMINER) für diesen Zweck. Mit einer davon sollen Nutzer den Rosenkranz beten, die andere bietet Sonderangebote verschiedener Art.
Bild 1. JSMINER Malware in Google Play
Beide Beispiele führen dasselbe aus, sobald sie gestartet werden: Sie laden den JavaScript-Bibliothekscode von Coinhive und starten das Mining mit dem Schlüssel der eigenen Site des Angreifers. Der Code läuft innerhalb der Webview der App, ist aber für den Nutzer nicht sichtbar, weil die Webview standardmäßig auf unsichtbar gestellt ist.
Bild 2. Webview läuft im „invisible“-Modus
Während der Code ausgeführt wird, ist die CPU-Belastung außergewöhnlich hoch.
ANDROIDOS_CPUMINER: Trojanisierte Versionen der legitimen Apps
Eine weitere Familie bösartiger Apps fügt legitimen Versionen Mining-Bibliotheken hinzu, die dann neu gepackt und verteilt werden. Es handelt sich um ANDROIDOS_CPUMINER. Bei einer dieser Versionen geht es um eine Wallpaper-Anwendung:
Bild 3. Mining Malware in Google Play
Weitere Details bietet der Originalartikel. Ebenso liefert der Artikel die Indicators of Compromise.