Код для добычи Monero был вшит в 25 приложений, замаскированных под игры, полезные утилиты и образовательные программы.
Пользователи Google Play более 120 тыс. раз скачали и установили приложения, в которые был вшит код Coinhive — популярного JavaScript-майнера для добычи Monero. Исследователи из SophosLabs обнаружили 25 таких вредоносных программ. Одиннадцать из них злоумышленники замаскировали под приложения для подготовки к вступительным экзаменам в американские вузы и опубликовали от имени разработчика Gadgetium. Остальные притворялись играми или утилитами.
Как пояснил один из экспертов, Панкадж Кохли (Pankaj Kohli), код майнера, состоящий всего из нескольких строк, можно добавить в любое приложение, которое использует встроенный браузер WebView.
Обнаруженные зловреды при запуске активируют JavaScript и загружают HTML-страницу, содержащую код для генерации криптовалюты. Затем майнер получает адрес кошелька и приступает к работе в фоновом режиме.
В отличие от авторов нашумевшего трояна Loapi, создатели данных приложений поставили ограничение на использование мощности процессора. Это позволяет майнеру не перегревать устройство, дольше сохранять заряд аккумулятора и самому оставаться незамеченным. Также разработчики вредоносного ПО постарались, чтобы добыча криптовалюты не слишком сильно влияла на работу других приложений и скорость отклика устройства.
Хотя в большей части обнаруженных зловредов использовался скрипт Coinhive, в одном случае исследователи обнаружили XMRig — мультиплатформенный майнер с открытым исходным кодом, который также способен работать на мобильных устройствах.
Также два приложения — co.lighton и com.mobeleader.spsapp — подгружали скрипты для добычи криптовалюты не с coinhive.com, а с собственных серверов. Эксперты полагают, что таким образом мошенники пытались обойти брандмауэры и службы родительского контроля, которые запрещают доступ к домену Coinhive по умолчанию.
Исследователи известили Google о вредоносных приложениях еще в августе. Хотя некоторые из программ удалили из магазина, другие до сих пор остаются доступны для скачивания. Следует отметить, что в июле компания Google официально прекратила допускать в Play Market приложения со встроенными майнерами. Еще ранее, в апреле, разработчик ввел то же ограничение в Chrome Web Store.