A finales del mes pasado, tres nuevas aplicaciones que funcionaban con el script de Coinhive han sido desenmascaradas como mineros para Android y han sido retiradas de la tienda de Google Play.
La comunidad sigue atentamente el crecimiento de los programas desarrollados para ingresar en las computadoras o en los dispositivos móviles de los usuarios para minar criptomonedas sin que estos se den por enterados. Tal es el caso de tres aplicaciones recientemente descubiertas por el equipo de TrendLabs: «SafetyNet Wireless Lab», «Recitiamo Santo Rosario Free» y «Car Wallpaper HD: mercedes, ferrari, bmw and audi».
La investigación del equipo de TrendLabs permitió clasificar estas aplicaciones en dos tipos. El primero de ellos se denominó ANDROIDOS_CPUMINER y en él se incluyen a versiones legítimas de aplicaciones normales sin ningún tipo de código malicioso que son modificadas para incluir bibliotecas de minería y son puestas en el mercado nuevamente.
En esta categoría ingresa «Car Wallpaper HD: mercedes, ferrari, bmw and audi», una aplicación que incluye los ficheros modificados de mineros para CPU y utiliza el rendimiento del equipo para minar varias criptomonedas. El hacker detrás de este código utilizaba una DNS dinámica para modificarlo y registrar las operaciones en Stratum. El equipo de TrendsLads detectó un total de 25 aplicaciones de este estilo en Google Play.
El segundo tipo de aplicaciones son las que trabajan con CoinHive, denominadas como ANDROIDOS_JSMINER. El JavaScript de CoinHive permite minar Monero en segundo plano sin que el usuario se percate de ello. Muchos miembros de la comunidad han sido afectados por dueños de aplicaciones y sitios web que incluyen este script en sus servicios sin avisar a los usuarios, tal es el caso de algunas páginas pornográficas que fueron descubiertas en el pasado.
Sin embargo, el equipo de CoinHive ofrece sus servicios como una alternativa a los anuncios que se integran en las páginas web y las aplicaciones, dejando claro a sus miembros que deben notificar a todos los usuarios de que integran CoinHive en sus servicios.
Muchos clientes, como los desarrolladores de «SafetyNet Wireless Lab», una app que prometía mejorar la red del teléfono y «Recitiamo Santo Rosario Free», una aplicación religiosa, integraron el código de CoinHive para obtener ganancias sin dar por enterado en ningún momento al usuario.
Aún no se poseen cifras exactas acerca de las ganancias que pudieron haber conseguido los autores de la propagación de estas aplicaciones maliciosas, pero la minería a través de estas aplicaciones aporta ínfimos dividendos si no se habla de miles de dispositivos infectados trabajando durante todo el día para un servidor específico.
Estas aplicaciones maliciosas en el sistema operativo Android hacen que los equipos se ralenticen, llegando a consumir un gran porcentaje del procesamiento del CPU y pueden poner en peligro la seguridad de los datos de los usuarios, como ocurrió con EnergyRescue, un ransomware que se disfrazó de ahorrador de energía en la tienda de Google Play.
Se recomienda a los usuarios estar atentos a cualquier comportamiento inusual luego de haber adquirido una nueva aplicación, sobre todo si el teléfono móvil se ralentiza de una manera significativa.
