Is someone mining cryptocurrencies on my device? - Kryptowährungen, crypto-monnaies, criptovalute

Is someone mining cryptocurrencies on my device? - Kryptowährungen, crypto-monnaies, criptovalute

Qualcuno sta minando criptovalute sul mio dispositivo?

Il mining delle criptovalute è un tema scottante di questi tempi. Sapevate che i vostri dispositivi potrebbero minare criptovalute senza che ve ne accorgiate? Il nostro collega Mihai Grigorescu, ricercatore di malware in Avira, ha esaminato da vicino MemeGenerator, un’app gratuita per Android che genera anche la criptovaluta Monero, per vedere cosa sarebbe successo. Ecco i risultati principali della sua ricerca:

1. La criptovaluta diventa scottante

L’aggiunta di MemeGenerator ha avuto un enorme impatto sul consumo energetico del dispositivo e, come mostra il grafico, sulla CPU. Il dispositivo era indubbiamente più caldo. Non è chiaro quali effetti a lungo termine per il dispositivo e la batteria potrebbe comportare il far funzionare un dispositivo a un livello così elevato.

2. Il modulo migliore per minare criptovalute

È facile creare un’applicazione Android ingannevole, ma all’apparenza completamente innocua, per minare la criptovaluta Monero. Con Coinhive Miner è semplice farlo. L’unico modo in cui un utente può scoprirlo è dal surriscaldamento del dispositivo, un effetto secondario prodotto dal carico insolito sul dispositivo durante l’attività di mining.

3. A goccia a goccia si fa il mare

Il guadagno per i minatori di criptovaluta sul vostro dispositivo è minuscolo, ma può sommarsi fino a diventare considerevole. A differenza dei PC, i dispositivi mobili non hanno la potenza di elaborazione necessaria per consentire agli aggressori di minare una quantità significativa di criptovalute. Tuttavia, la piccola quantità che minano si aggiunge a quella di ogni dispositivo infetto, e applicazioni come MemeGenerator permettono di infettare un gran numero di dispositivi Android.

4. Ricordate, è il vostro dispositivo

Quella di minare una criptovaluta dovrebbe essere una decisione presa da voi in qualità di proprietari del dispositivo e non una mossa subdola di sviluppatori malintenzionati. Tutto il resto rappresenta un furto del vostro tempo e delle vostre risorse. Per questo motivo Avira rileva queste applicazioni come ANDROID/Coinminer.X.Gen e il javascript come HTML/ExpKit.Gen2.

Ecco la storia completa dell’esperienza di Mihai con l’app MemeGenerator:

Quel primo sguardo innocente

La prima cosa che abbiamo imparato di dover fare con qualsiasi app per dispositivi mobili è esaminare attentamente le autorizzazioni richieste.

Ebbene, questa applicazione non ha richiesto alcuna autorizzazione sospetta: l’accesso alla rete è stato ovviamente sollecitato per condividere con gli amici i meme generati, e potrebbe essere richiesta anche l’archiviazione dei file sulla scheda SD per salvare i meme.
Dato che l’applicazione sembrava legittima, ciò avrebbe potuto trarre in inganno qualsiasi utente, inducendolo a fare clic su “Installa” per continuare l’installazione.

Dopo l’installazione l’app ha creato una bella icona di avvio, quindi abbiamo fatto clic sopra…

Senza alcuna spiegazione, abbiamo ottenuto una lista di immagini tra cui scegliere. Pensando che si trattasse dell’immagine di sfondo da impostare, ne abbiamo scelta una:

Sono comparse due caselle di testo, precompilate con le scritte “Texto superior” e “Texto inferior”. Dopo averle riempite con il testo “why is my phone hot” abbiamo ricevuto il meme completo e le opzioni per condividerlo via email, messaggio MMS o Bluetooth.

A prima vista, sembrava trattarsi di un’app molto semplice che faceva il suo lavoro: ha generato il nostro meme personalizzato.

Non c’era assolutamente nulla che avrebbe potuto far insospettire l’utente riguardo la legittimità dell’app. Tuttavia c’era un problema: il dispositivo si stava surriscaldando.

Uno sguardo sotto il coperchio

Un rapido sguardo a LogCat ha rivelato che l’applicazione era stata creata con App Inventor e stava caricando alcuni contenuti in una WebView.
Abbiamo decompilato l’applicazione per dare un’occhiata più da vicino:

Analizzando il codice, abbiamo visto che il contenuto è stato caricato dall’interno del file APK, dalla cartella android_asset; quindi abbiamo iniziato esaminando questo file:

Questo era il codice HTML che aveva generato l’elenco delle immagini di sfondo che avevamo scelto in precedenza, e abbiamo visto che stava caricando un file min.js:

Questo era il Coinhive Miner di coinhive.com, infatti abbiamo notato la stessa costruzione nella loro documentazione:

Quindi, nel nostro caso “K2hXuRJ7cExO4bPknDEWhDabqM0Ls8e3” era la chiave del sito.

Scottavo per te

Non era un’illusione: lo smartphone si stava davvero surriscaldando. Prima di avviare l’app, il primo grafico di carico della CPU mostrava un dispositivo a riposo. Ma una volta che l’applicazione era in esecuzione, un buon 48% della CPU (un valore di carico mostrato dalla parte verde del diagramma circolare) è stato utilizzato in modo stabile per l’attività di mining.

Conclusioni sulla criptovaluta MEME

Con Coinhive Miner e il suo approccio modulare il concetto è chiaro: è facile creare un’app per minare criptovalute che abbia un aspetto innocuo. L’unico modo in cui un utente può scoprirlo è dal surriscaldamento del dispositivo, un effetto secondario prodotto dal carico insolito sul dispositivo durante l’attività di mining.

Sembra in crescita la tendenza dei pirati informatici a utilizzare il mining di criptovalute per far fruttare i vostri dispositivi. In qualità di azienda di sicurezza informatica, identifichiamo e blocchiamo i loro tentativi di danneggiare i vostri dispositivi, di impossessarsi delle vostre informazioni personali e di abusare di questi dispositivi per i loro scopi nascosti, come il mining di criptovalute. Per questi motivi rileviamo queste applicazioni come ANDROID/Coinminer.X.Gen e il javascript come HTML/ExpKit.Gen2.

IOC

K2hXuRJ7cExO4bPknDEWhDabqM0Ls8e3: chiave del sito coinhive
6d4daa7588df5e864485b6aab665bd66c79fe6aed842f22d86b8a54bd6dcc3a6: applicazione android
712bb1af37e7a67f86eb8b2826b8e9bd90af1d0cf213e0d8f5392dcdb5f8ed5d: coinminer JS

Questo articolo è disponibile anche in: IngleseTedescoFrancese

Exit mobile version