Даркнет, который мы заслужили

Скрипты для скрытого майнинга скачаны вместе с приложениями Google Play минимум 100 000 раз

Криптоджекинг — скрытый майнинг криптовалют с использованием чужих вычислительных ресурсов — получает всё большее распространение. Сообщения о том, что при помощи программного обеспечения Coinhive, а также скриптов в браузерах злоумышленники майният Monero без ведома владельцев сайтов и пользователей, уже становятся привычными.

На прошлой неделе британская компания Sophos, занимающаяся кибербезопасностью, опубликовала доклад, в котором сообщила, что её эксперты обнаружили 19 заражённых Android-приложений, загруженных из официального магазина Google Play.

Sophos утверждает, что эти приложения тайно загружают скрипт Coinhive на устройства. Анализ ПО показывает, что его предположительно написали те же люди, которые ранее внедряли код для майнинга в HTML-файлы в директориях приложений и активов.

Вредоносный код выполняется при запуске скачанных приложений, а также ПО, которое использует браузер WebView (упрощённый браузер для Android). В некоторых случаях, когда приложения не открывают окно WebView, код майнинга может работать и в фоновом режиме. А когда, например, выполняется код ПО в обычном режиме (для просмотра новостей, обучающих сайтов и т.д.), встроенный код Coinhive работает наряду с этим контентом.

Компания Sophos обнаружила этот код в 19 приложениях, опубликованных через аккаунты четырёх разработчиков. Большинство приложений едва ли дошли до 100-500 скачиваний, но одно из них — extreme.action.www.wrestin — могло быть установлено на устройства, количество которых находится диапазоне от 100 000 до 500 000.

Программы были загружены в Google Play в конце прошлого года. Исследователи Sophos уже сообщили о них в компанию Google. На момент подготовки статьи все они были удалены из официального магазина компании. Список всех 19 приложений с Coinhive доступен на седьмой странице доклада Sophos, и пользователи могут проверить, не установлены ли на их устройствах какие-либо из них.

На странице 10 доклада Sophos  есть ещё один список вредоносных приложений, но в них встроена библиотека от cpuminer для майнинга биткоина и лайткоина.

Sophos, называя это вредоносное программное обеспечение CoinMiner, говорит, что оно обнаружено в 10 приложениях, доступных на coandroid.ru — стороннем магазине приложений для Android.

Сообщения о незаконном майнингекриптовалют встречаются часто, и пользователи должны знать, что такие программы могут испортить смартфон. Об этом ранее сообщили эксперты «Лаборатории Касперского», предупреждая о вредоносном ПО под названием Loapi Android.

Интересно то, что иногда пользователям даже не приходится устанавливать вредоносные программы. Например, накануне исследователи компании Malwarebytes сообщили, что обнаружили распространяемую в интернете рекламную кампанию, нацеленную на мобильные браузеры для Android. В ней используется вредоносный код, который скрывается за рекламными объявлениями и перенаправляет пользователей на сайты, использующиеся для майнинга Monero через Coinhive. При этом люди, ничего не подозревая, могут продолжать сёрфинг в интернете.

В то время как настольные компьютеры, как правило, способны выдержать нагрузку, возникающую при майнинге, многим мобильным устройствам это не под силу. Их аккумуляторные батареи порой перегреваются и деформируются.