Sophos обнаружила 25 криптомайнеров в Google Play

Компания-производитель средств информационной безопасности Sophos опубликовала результаты изучения содержимого Google Play. Исследователи обнаружили 25 приложений, скрытно добывающих криптовалюту. Пользователи загрузили и установили это ПО суммарно более 120 000 раз.

Результаты исследования Sophos

Криптомайнинговые приложения маскируются под игры, инструменты и обучающее ПО. 11 из них предлагают помощь в подготовке к стандартизированным тестам американской системы образования и опубликованы с аккаунта одного разработчика — Gadgetium. Большая часть приложений специализируется на добыче Monero (XMR). Исследователи считают, что злоумышленники выбрали эту валюту из-за высокой степени анонимности.

Подробности реализации

Большинство приложений использует майнер Coinhive, реализованный на JavaScript. Этот инструмент реализован всего в нескольких строках кода, и его легко интегрировать в приложение. Coinhive использует для работы CPU, а не GPU, как большинство других майнеров, поэтому оптимален для работы на мобильных устройствах.

Специалисты Sophos отметили, что программы-майнеры регулируют загрузку процессора, чтобы не вызывать перегревов, слишком быстрого разряда батареи и замедления работы устройства. Эта особенность позволяет скрывать теневую активность приложений.

Два приложения,co.lighton и com.mobeleader.spsapp, используют собственные сервера для исполнения кода майнера Coinhive. По мнению исследователей, это позволяет обойти защиту, блокирующую основной домен исполнения скрипта. Ещё одно приложение, de.uwepost.apaintboxforkids, использует инструмент с открытым исходным кодом XMRig, позволяющий добывать не только Monero.

Приложения-майнеры запрещены в Google Play, и Sophos уведомила Google о результатах исследования. Однако, по словам разработчика защитного ПО, некоторые приложения из списка всё ещё доступны.

Специалисты по безопасности рассматривают скрипты для добычи криптовалют как серьёзную опасность. В рейтинге угроз, составленном командой CheckPoint, инструмент Coinhive занял первое место. Криптовалюта Monero также не в первый раз попадает в поле зрения специалистов по безопасности. В сентябре 2018 года их разработчики обнаружили и устранили ошибку в коде, позволявшую похищать XMR с обменников практически в неограниченных количествах.