Сoтрудники TrendMicro, исслeдующиe прoблeмы бeзoпaснoсти, выявили нoвeйшee врeдoнoснoe прoгрaммнoe oбeспeчeниe, рaбoтaющee нa устрoйствax с OС Android. Eгo нaзвaли HiddenMiner. ПO сoздaнo для тoгo, чтoбы мaйнить вaлюту Monero. Чрeзмeрнo зaгрузив прoцeссoр, oн мoжeт вывeсти из стрoя атакованное устройство.
Исследователи пояснили, что HiddenMiner подобен многим прочим программам. Правда, в его коде нет оптимизатора, контроллера или переключателя. Иными словами, он станет непрерывно добывать Monero. Он не прекратит, пока полностью не исчерпает ресурсы гаджета. Как говорят эксперты, HiddenMiner по своей природе можно вызывать перегрев зараженного аппарата, а также его сбой.
Это уже не первое программное обеспечение такого рода. В прошлом году специалисты по кибербезопасности, работающие в «Лаборатории Касперского», выявили Loapi. Этот троян под Android может физически выводить гаджет из стоя, перегревая его. Исследователи пояснили, что есть сходство между обоими вредоносами. Метод, позволяющий Loapi блокировать дисплей, требуя администраторские права на устройстве, похож на использующийся в HiddenMiner.
×
Экспертами даже выявлены кошельки криптовалюты Monero, которые связаны с вредоносным программным обеспечением. Некий оператор HiddenMiner сумел вывести из одного такого кошелька 26 XMR, что немного превышает пять тысяч долларов.
Маскируясь под легитимное приложение, обновляющее Google Play, оно вынуждает пользователей к его активизации в роли администратора гаджета. Всплывающее окошко станет выскакивать постоянно до тех пор, пока пользователь не нажмёт «Активировать». Когда разрешение будет получено, HiddenMiner в фоновом режиме приступит к добыче Monero.
Пытаясь скрываться на заразившихся устройствах, вредонос использует прозрачную иконку, а также оставляет название приложения пустым. Если активировать его под ролью администратора, HiddenMiner скрывает приложение даже в разделе работающих программ. Им также применяются антиэмуляционные методики, предотвращающие обнаружение с автоматическим анализом. Более того, удалить вредонос пользователи не смогут до той поры, пока у неё не отзовут привилегии администратора. В сложившейся ситуации HiddenMiner заблокирует дисплей устройства, пользуясь уязвимостью в ОС Android.
Распространяется вредонос посредством сторонних магазинов. Пока что он нападает на Android-устройства лишь индийских и китайских пользователей. Но, по мнению экспертов, он может добраться и до иных стран.
Источник: blog.trendmicro.com