Szkodniki z Google Play zamieniają smartfony i tablety w koparki kryptowalut
Pierwszym programistą, który wpadł na pomysł, by zarabiać naswojej aplikacji poprzez wykorzystanie jej dodatkowo do wydobyciakryptowalut, był chyba Andreas Öman, twórca odtwarzacza mediówShowtime,używanego przede wszystkim na konsolach Playstation 3. Rozwiązaniutakiemu nie można jednak postawić żadnego zarzutu: koparkalitecoinów uruchamiana była w tle tylko za zgodą użytkownika,który chciałby w ten sposób wesprzeć rozwój ulubionegooprogramowania. Pomysł podpatrzyli twórcy aplikacji dla Androida.Niestety jednak o zgodę już nie pytają, zamieniając telefony itablety nieświadomych użytkowników w ciche węzły wyliczającegokryptowaluty botnetu.
27.03.2014 17:57
Badacze z firmy Trend Micro przyjrzelisię bliżej dwóm androidowym aplikacjom: *Songs i Prized,*przeznaczonym przede wszystkimdla użytkowników z Indii. Pierwsza z nich cieszy się sporąpopularnością, liczba instalacji mieści się w przedziale od 1 mlndo 5 mln, druga, wydana całkiem niedawno, zainteresowała między 10tys. a 50 tys. użytkowników. Żaden z nich nie mógł sądzić, żeoprócz oferowania dostępu do indyjskiej muzyki czy prostych quizów,aplikacje te robią coś jeszcze – zamieniają smarfon czy tablet wkoparkę kryptowalut.
Oprogramowania takiego nie można określić inaczej, jakzłośliwe. Uruchamia ono w tle dobrze znanego cpuminera, gdy tylkowykryje, że urządzenie ma dostęp do Internetu – i jestpodłączone do ładowarki. To roztropne zabezpieczenie ze stronyoperatorów górniczych botnetów, utrudnia bowiem ofierzezauważenie, że coś niedobrego dzieje się z telefonem. Proceswyliczania kryptowalut na telefonie jest bowiem ogromnienieefektywny, prowadząc do spowolnienia urządzenia i błyskawicznegozużycia baterii.
Ile w ten sposób napastnicy mogli zarobić, trudno powiedzieć.Najlepsze procesory ARM, stosowane w telefonach czy tabletach, są wstanie wyliczyć 3-4 kH/s. Dla porównania najlepsze karty graficzne,wykorzystywane do wyliczania litecoina i jego klonów (na baziealgorytmu scrypt), np. Radeon R9 290X, są w stanie zapewnićwydajność na poziomie 950 kH/s. Przy obecnym poziomie trudnościwyliczania litecoinów oznacza to, że jeden smartfon jest w stanie„wykopać” około 0,02 litecoina miesięcznie, tj. około 30centów. Wydaje się, że nie jest to wiele – ale w sytuacji, gdyliczeniem zajmuje się milion takich smartfonów, nagle przychody ztakiego botnetu okazują się warte zachodu.
Trudno powiedzieć, ile aplikacji w Google Play należy do klasyszkodników, którą ludzie w białych kapeluszach z G Data nazwaliw lutym tego roku ANDROIDOS_KAGECOIN.HBT. Odkryty przez nich szkodnikAndroid.Trojan.MuchSad.A w aplikacji TuneIn Radio Pro zajmowałsię wyliczaniem popularnych ostatnio dogecoinów. Jako jednak żenie był dostępny w Google Play, a jedynie w kilku pirackichsklepach, skala infekcji była niewielka, cyberprzestępcom udałosię zarobić wówczas jedynie 1853 dogecoiny, warte co najwyżejkilkanaście złotych.
Pojawienie się tego typu szkodników w oficjalnym sklepieGoogle'a zmienia jednak postać rzeczy. Jeśli aplikacja uzyskapopularność porównywalną do tej, jaką ma Songs,to nic tylko tworzyć kolejne takie aplikacje – moderatorzyMountain View najwyraźniej nie bardzo się starają podczas testówaplikacji przed ich dopuszczeniem do sklepu. Konsekwencjezainstalowania ukrytej koparki są zaś dla ofiary naprawdęnieprzyjemne – czeka ją nie tylko spowolnienie ładowaniaurządzenia, ale też szybsze jego zniszczenie, intensywnyobliczeniowo proces odwracania skrótów algorytmu scrypt nie jestbowiem przyjazny dla elektroniki.
Wkrótce po opublikowaniu przezbadaczy Trend Micro wpisu na ich blogu, Google usunęło aplikacjęPrized,wciąż jednak do pobrania dostępny jest Songs.