Al momento è diffuso solo in Cina e India, ma gli esperti temono che arrivi anche in Occidente. Il rischio è che rovini gravemente lo smartphone surriscaldando la batteria
Abbiamo più volte sottolineato il crescente interesse dei gruppi criminali nelle cryptovalute, di recente sono state individuate numerose minacce disegnate per sfruttare le risorse delle vittime in attività di mining (conio di valuta digitale come Bitcoin o Monero) di crypto valute.
Hiddenminer, l’ennesimo minatore che non sapete di avere
Negli ultimi mesi abbiamo assistito a un incremento importate di questa tipologia di minacce per i dispositivi mobili, e la recente scoperta annunciata dagli esperti di sicurezza dell’azienda Trend Micro conferma questa pericolosa tendenza.
Trend Micro ha annunciato nei giorni scorsi la scoperta di un nuovo malware Android soprannominato “ANDROIDOS HIDDENMINER” che sfrutta la CPU del dispositivo infetto per produrre criptovaluta Monero, oggi la più popolare cripto moneta nell’underground criminale per le sue caratteristiche di anonimato.
HiddenMiner implementa tecniche di evasione in grado di eludere le analisi condotte mediante strumenti di automatici, il codice malevolo infatti è in grado di comprendere se è in esecuzione in un ambiente virtualizzato come quello utilizzato dai ricercatori. HiddenMiner implementa tale funzionalità sfruttando un rilevatore di emulatore Android reperibile su Github.
“Abbiamo scoperto un nuovo malware Android in grado di utilizzare la potenza di calcolo del dispositivo infetto per estrarre Monero. Trend Micro rileva questo come ANDROIDOS_HIDDENMINER. ” recita l’analisi pubblicata da Trend Micro.
“I meccanismi di auto-protezione e persistenza di questa app di Monero-mining per Android consentono al malware di nascondersi agli inconsapevoli utenti e abusare della funzione Device Administrator (una tecnica implementata dal ransomware Android SLocker ).”
Gli esperti sono stati in grado di individuare i pool di mining Monero ed i portafogli collegati al malware HiddenMiner, ed hanno scoperto che uno dei suoi operatori ha guadagnato 26 Monero (circa US $ 5.360 secondo la quotazione del 26 marzo 2018). Queste informazioni suggeriscono che gli operatori dietro questa specifica minaccia sono attualmente attivi.
Il malware che produce Monero sonante
HiddenMiner sfrutta la potenza computazionale della CPU del dispositivo per produrre Monero, tuttavia gli esperti hanno osservato che lo sforzo computazionale è così importante che la CPU può surriscaldarsi al punto di causare il blocco del dispositivo. In taluni casi il malfunzionamento potrebbe portare addirittura al danneggiamento permanente del dispositivo.
“Non c’è switch, controller o ottimizzatore nel codice di HiddenMiner, il che significa che il malware sfrutta le risorse del dispositivo sino la loro esaurimento e senza limitazioni.” Continua l’analisi.
Il rischio che danneggi lo smartphone in modo permanente
“Data la sua natura di HiddenMiner, potrebbe causare il surriscaldamento del dispositivo interessato e, potenzialmente, la sua distruzione.”
Questo comportamento non è del tutto nuovo alla comunità di esperti, in passato il crypto miner Loapi ha causato simili problemi ai dispositivi Android infetti, l’eccessivo surriscaldamento provocava infatti il rigonfiamento della batteria del dispositivo e conseguente distruzione.
HiddenMiner, come Loapi, procede al blocco dello schermo del dispositivo una volta aver revocate le autorizzazioni di amministrazione dello stesso e per impedirne il ripristino da parte della vittima.
Cosa fa il virus
Le vittime di HiddenMiner risultano impossibilitati alla rimozione del minatore dall’amministratore del dispositivo poiché utilizza un trucco per bloccare lo schermo del dispositivo quando un utente desidera disattivare i privilegi di amministratore concessi al codice malevolo. Gli esperti hanno spiegato che per implementare questo trucco il malware sfrutta una vulnerabilità riscontrata nei sistemi operativi Android ad eccezione di Nougat e nelle versioni successive.
Gli autori del malware abusano quindi dell’autorizzazione all’amministrazione dei dispositivi, Trend Micro sottolinea che gli utenti non possono disinstallare un pacchetto di amministrazione di sistema attivo finché i privilegi di amministratore del dispositivo non vengono rimossi.
ANDROIDOS HIDDENMINER è attualmente distribuito attraverso una falsa app di aggiornamento di Google Play che gli esperti hanno trovato su store non ufficiali.
Diffuso soprattutto in Oriente
Il minatore sta colpendo principalmente gli utenti in India e Cina, ma gli esperti temono che possa rapidamente diffondersi ad altri paesi.
“In effetti, HiddenMiner è un altro esempio di come i criminali informatici stiano cavalcando l’onda delle cryptovalute.” Ha concluso Trend Micro. “Per utenti e aziende, è fondamentale adottare misure necessarie a garantire l’igiene dei dispositivi mobile sul piano della sicurezza ovvero: scaricare app solo dagli store ufficiali, aggiornare regolarmente il sistema operativo del dispositivo ed essere prudenti nel concedere le autorizzazioni alle diverse applicazioni “.
