Falha no Android faz com que malware minere Monero até a bateria estourar

Uma nova linhagem de malware Android usará continuamente a CPU de um dispositivo infectado para explorar a criptomoeda do Monero até que o dispositivo esteja esgotado ou seja danificado.

A empresa de segurança Trend Micro nomeou o programa HiddenMiner por causa das técnicas que usa para se proteger da descoberta e remoção.

Como a maioria dos programas de mineração com criptomoedas, o HiddenMiner usa a capacidade da CPU do dispositivo para minerar o Monero. Mas a Trend Micro disse que, como não há limitador, controlador ou otimizador no código do HiddenMiner, ele irá continuamente extrair o Monero até que os recursos do dispositivo estejam esgotados.

“Dada a natureza do HiddenMiner, ele poderia causar o superaquecimento do dispositivo afetado e, potencialmente, falhar”

Se as preocupações dos pesquisadores estiverem corretas, este não é o primeiro programa malicioso de mineração de criptomoedas a colocar seu smartphone em risco: no ano passado, o Loapi Android infectou um telefone o fez trabalhar até que sua bateria inchou e abriu a tampa traseira do dispositivo, destruindo a bateria do aparelho em 48 horas.

A Trend Micro disse que os dois tipos de malware compartilham semelhanças, observando que a técnica de Loapi de bloquear a tela depois de revogar permissões de administração de dispositivos é análoga à do HiddenMiner.

Pesquisadores da empresa identificaram os pools e carteiras de mineração da Monero conectados ao malware, e identificaram que um de seus operadores retirou 26 XMR – cerca de US $ 5.360 – de uma das carteiras. Isso, segundo eles, indica uma campanha “bastante ativa” de uso dos dispositivos infectados.

O HiddenMiner se apresenta como um aplicativo de atualização legítimo do Google Play e força os usuários a ativá-lo como administrador do dispositivo. Ele persistirá até que as vítimas cliquem no botão Ativar; uma vez concedida a permissão, o HiddenMiner começará a mineração do Monero em segundo plano.

Ele também tenta se esconder em dispositivos infectados, por exemplo, modificando o ícone de um app instalado por um ícone transparente. O HiddenMiner também possui recursos anti-emuladores para contornar os antivírus.

Também é difícil se livrar: os usuários não podem desinstalar um pacote de administração do sistema ativo até que os privilégios de administrador do dispositivo sejam removidos primeiro. Mas o HiddenMiner bloqueia a tela do dispositivo quando um usuário deseja desativar seus privilégios de administrador, aproveitando-se de um bug encontrado nos sistemas operacionais Android antes do Android 7.0 Nougat.

A Trend Micro disse que o HiddenMiner é encontrado em mercados de aplicativos de terceiros e está afetando usuários na Índia e na China, mas não será uma surpresa se estender além desses países.

O surgimento deste programa malicioso deve reforçar a necessidade de cautela, disse Trend Micro: baixar apenas de lojas de aplicativos oficiais; Atualize regularmente o sistema operacional do dispositivo e tenha cuidado com as permissões concedidas aos aplicativos.

Compartilhe este post

Facebook
Twitter
LinkedIn
WhatsApp