Nuevo malware para m贸viles Android explota monedas virtuales como Bitcoin, Dogecoin y Litecoin

Los usuarios de tel茅fonos y tablets con Android que adviertan de forma repentina que sus dispositivos se cargan lentamente, se calientan o se quedan sin bater铆a en poco tiempo deber铆an considerar que podr铆an estar siendo v铆ctimas de esta nueva amenaza.

Investigadores de Trend聽Micro聽informan que聽una nueva familia de malware para Android (detectada como ANDROIDOS_KAGECOIN.HBT) estaba minando la capacidad de cifrado de las monedas virtuales o criptodivisas. Trend Micro, seg煤n sus an谩lisis, ha encontrado que este malware est谩 involucrado en la explotaci贸n de 聽varias monedas digitales, incluyendo Bitcoin, Litecoin y Dogecoin.

La situaci贸n tiene consecuencias reales para los usuarios: menor duraci贸n de la bater铆a, mayor desgaste y deterioro, todo lo cual podr铆a significar una vida m谩s corta del dispositivo.

Los investigadores descubrieron originalmente ANDROIDOS_KAGECOIN en copias pirateadas de aplicaciones populares como Football Manager Handheld y TuneIn Radio. Las aplicaciones fueron programadas con el c贸digo de una aplicaci贸n de la CPU de cifrado de monedas Android leg铆tima. Este c贸digo se basa en el software conocido como cpuminer.

Para ocultar el c贸digo malicioso, los cibercriminales han modificado 聽parte de la app de Google Mobile Ads, tal como se indica:

http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/03/dogecoinfigure1.png

1. C贸digo modificado de Google Mobile Ads

La operaci贸n se inicia como un servicio de fondo una vez que se detecta que el dispositivo afectado est谩 conectado a Internet. Por defecto, la CPU se conecta a un dominio din谩mico, que luego se redirige a un grupo an贸nimo de mimer铆a Dogecoin.

El 17 de febrero, la red de m贸viles ha hecho ganar al cibercrimen miles de Dogecoins. Despu茅s del 17 de febrero, el cibercriminal cambi贸 los pools de mineria. El malware est谩 configurado para descargar un archivo que contiene informaci贸n necesaria para actualizar la configuraci贸n del malware. Este archivo de configuraci贸n se actualiz贸 y ahora se conecta al pool de miner铆a conocida como WafflePool. Los Bitcoins se han pagado (es decir, trasladado a la cartera del cibercriminal) varias veces.

http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/03/dogecoinfigure3.png

2. C贸digo de configuraci贸n de pool de monedas

Las aplicaciones de extracci贸n de monedas mencionadas estaban fuera de Google Play Store, pero Trend Micro ha encontrado el mismo comportamiento en aplicaciones dentro de Google Play Store. Estas aplicaciones han sido descargadas por millones de usuarios, lo que significa que puede haber muchos dispositivos Android que est谩n siendo utilizados para la miner铆a de criptodivisas por los ciberdelincuentes. Detectamos esta nueva familia de malware como ANDROIDOS_KAGECOIN.HBTB. (en el momento de la publicaci贸n de este texto, estas aplicaciones todav铆a siguen est谩n disponibles).

http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/03/dogecoinfigure5.png

3. Apps de extracci贸n in Google Playhttp://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/03/dogecoinfigure6.png

4. Cuenta 聽de descarga de apps de extracci贸n

Analizando el c贸digo de estas aplicaciones se descubre el c贸digo de cifrado de extracci贸n que est谩 dentro. A diferencia de otras aplicaciones maliciosas, en estos casos la extracci贸n s贸lo ocurre cuando el dispositivo se est谩 cargando, pues es cuando el incremento de uso energ铆a uso no se nota tanto.

http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/03/dogecoinfigure7.png

5. C贸digo de extracci贸n de cifrado de monedas

La misma actualizaci贸n l贸gica de la configuraci贸n est谩 aqu铆 presente. Analizando el archivo de configuraci贸n, parece que el cibercriminal est谩 cambiando en extracci贸n de Litecoins.

6. Archivo de configuraci贸n, que muestra el cambio a robo de LiteCoin

Creemos que con miles de dispositivos afectados, el cibercriminal acumul贸 una gran cantidad de Dogecoins.

Seg煤n el lenguaje enmara帽ado de la descripci贸n y los t茅rminos y condiciones de los websites de estas aplicaciones, los usuarios podr铆an ignorar que sus dispositivos pueden utilizarse potencialmente como dispositivos de robo.

Por muy bien dise帽ado que est茅 el ataque, el que lo ha llevado a cabo puede que no haya pensado en todo. Los tel茅fonos no tienen suficiente rendimiento para ser empleados como eficaces mineros. Los usuarios notar谩n r谩pidamente un comportamiento extra帽o鈥 se cargan de forma lenta y se calientan mucho, haciendo la presencia del minero no particularmente discreta. S铆, es cierto que ganan dinero, pero a un ritmo glacial.

Los usuarios de tel茅fonos y tablets que de pronto noten que se cargan lentamente, se calientan, o se queden sin bater铆a deber铆an considerar que est谩n siendo expuestos a amenazas. Igualmente, s贸lo porque una aplicaci贸n se haya descargado desde una tienda de aplicaciones 鈥 incluso Google Play 鈥 no significa que sea segura.

Trend Micro ya ha informado de este tema al equipo de seguridad de Google Play.

Autor: Veo Zhang, analista de Amenazas M贸viles de Trend Micro

聽Ilustraci贸n: DArtist 漏 Shutterstock.com


驴Desea suscribirse a nuestro newsletter?

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.