HiddenMiner: un criptominero que puede causar fallos en dispositivos Android

También puedes leer... Privacidad y protección de datos en aplicaciones móviles Haciendo frente a la PSD2 Cambios de Paradigma en Seguridad DMARC, protegiendo el email Nuevo paradigma en la confianza

Investigadores de TrendLabs han descubierto un nuevo malware de Android que puede usar subrepticiamente la potencia de computación del dispositivo infectado para minar Monero, y que ha sido bautizado como ANDROIDOS_HIDDENMINER. Los mecanismos de autoprotección y persistencia de este criptominero para Android incluyen ocultarse del usuario y abusar de la función Administrador del Dispositivo, una técnica utilizada en el ransomware Android SLocker.

HiddenMiner usa la potencia de CPU del dispositivo para minar Monero. No hay interruptor, controlador u optimizador en el código de HiddenMiner, lo que significa que minará continuamente Monero hasta que se agoten los recursos del dispositivo. Dada la naturaleza del malware, podría causar que el dispositivo afectado se sobrecaliente y falle. Esta característica es similar al criptominero Android Loapi, que causaba que la batería de un dispositivo afectado se hinchara. De hecho, la técnica de Loapi de bloquear la pantalla después de revocar los permisos de administración del dispositivo es análoga a la de HiddenMiner.

HiddenMiner se presenta como una aplicación legítima de actualización de Google Play, apareciendo como com.google.android.provider con el ícono de Google Play. Requiere que los usuarios lo activen como administrador del dispositivo. Continuamente aparecerá hasta que las víctimas hagan clic en el botón Activar. Una vez otorgado el permiso, HiddenMiner comenzará a extraer Monero en segundo plano.

El malware utiliza varias técnicas para ocultarse en los dispositivos, como vaciar la etiqueta de la app y usar un icono transparente después de la instalación. Una vez activado como administrador del dispositivo, el malware se ocultará y se ejecutará automáticamente con el permiso de administrador del dispositivo. HiddenMiner también tiene capacidades anti emulador para eludir la detección y el análisis automatizado.

Los usuarios no pueden eliminarlo del administrador del dispositivo ya que el malware utiliza un truco para bloquear la pantalla cuando un usuario desea desactivar sus privilegios de administrador del dispositivo. Aprovecha un error que se encuentra en los sistemas operativos Android, excepto Nougat (Android 7.0) y versiones posteriores.

HiddenMiner se encuentra en mercados de aplicaciones de terceros. Hasta el momento, está afectando a usuarios en India y China, pero no será una sorpresa si se extiende más allá de ambos países.