Ажиотаж вокруг криптовалюты продолжает подпитывать не только инновации, но и киберпреступность. В то время как одни легально добывают цифровое золото, другие предпочитают красть вычислительные мощности чужих устройств. Недавно был обнаружен фишинговый сайт, имитирующий интерфейс известного банка и распространяющий вредоносное Android-приложение. Оно не выполняет функций реального банковского сервиса, но использует название и логотип финансовой организации, чтобы ввести пользователей в заблуждение. Вместо этого приложение незаметно майнит криптовалюту, эксплуатируя ресурсы смартфонов в интересах злоумышленников.
Описание
Криптомайнинг - это процесс, при котором вычислительные мощности используются для проверки и записи транзакций в блокчейн-сети. В обмен на это майнеры получают вознаграждение в виде криптовалюты. Решение сложных математических задач требует значительных ресурсов процессора или видеокарты. Крупные майнеры часто используют специализированное оборудование, но злоумышленники предпочитают скрытно задействовать чужие устройства, включая смартфоны.
Политика Google Play Store запрещает публикацию приложений, связанных с криптомайнингом, даже если они работают легально. Из-за этого пользователи вынуждены скачивать подобные программы из сторонних источников, что значительно повышает риск столкнуться с вредоносным ПО. Злоумышленники активно этим пользуются, распространяя фальшивые приложения, которые под видом полезных сервисов внедряют криптомайнеры.
В отличие от легальных майнинговых программ, которые предупреждают пользователей о своей деятельности и направляют доход владельцу устройства, криптоджекеры работают скрытно, перекачивая все прибыли на кошельки злоумышленников.
Чем опасен криптомайнер на Android?
Установка подобного вредоносного ПО приводит к ряду негативных последствий. Постоянная нагрузка на процессор вызывает быстрый разряд батареи и перегрев устройства. Длительная эксплуатация в таком режиме может нанести непоправимый ущерб внутренним компонентам, включая аккумулятор и материнскую плату. Кроме того, майнер активно использует интернет-трафик для связи с пулами, что ведет к неожиданному расходу мобильного интернета. Пользователи также замечают серьезное замедление работы смартфона - приложения начинают тормозить, а интерфейс становится менее отзывчивым.
В данном случае злоумышленники создали фишинговый сайт, имитирующий интерфейс Axis Bank. На нем размещено приложение "Axis Card", которое на самом деле содержит встроенный XMRig - открытый инструмент для майнинга Monero.
Как работает атака?
Пользователь скачивает вредоносное приложение через фишинговый сайт или, например, мессенджеры вроде WhatsApp. При запуске приложение показывает поддельное окно обновления, не предоставляя реального функционала, поэтому многие просто оставляют его в фоне. Тем временем программа начинает следить за состоянием устройства, особенно за уровнем заряда и блокировкой экрана. Как только пользователь блокирует смартфон, вредонос загружает зашифрованный файл .so, расшифровывает его и запускает процесс майнинга. Если экран разблокируется, майнинг останавливается, но приложение продолжает ждать следующего подходящего момента. Такой цикл позволяет злоумышленникам долгое время оставаться незамеченными, постепенно изнашивая устройство жертвы.
Технические детали
Приложение запрашивает стандартные разрешения, включая доступ в интернет, что необходимо для связи с майнинговыми серверами. Оно также использует WAKE_LOCK, чтобы предотвратить переход устройства в спящий режим, и может автоматически перезапускаться после перезагрузки для поддержания активности.
После установки приложение просит разрешение на работу в фоне и демонстрирует фальшивое окно обновления. Нажатие кнопки "Обновить" ни к чему не приводит - вместо этого появляется сообщение, что установщик "устарел". При этом приложение пытается загрузить вредоносный бинарный файл с GitHub, Cloudflare или собственного домена злоумышленников. Файл шифруется для усложнения анализа и сохраняется в памяти устройства как "d-miner".
Расшифрованный код содержит явные признаки использования XMRig - встроенные пути к конфигурациям, упоминания алгоритма RandomX и адреса майнинговых пулов. Приложение подключается к пулу pool.uasecurity.org:9000, используя TLS-шифрование, и начинает майнить Monero в фоновом режиме.
Как это влияет на устройство?
Мониторинг активности через Logcat и системные команды показывает, что процесс "d-miner" потребляет до 746% CPU (за счет многопоточности) и более 27% оперативной памяти. Всего за 30 минут температура устройства может подняться с 32°C до 45°C, что создает риск перегрева и ускоренной деградации батареи.
Индикаторы компрометации
Domains
- accessor.pages.dev
- getxapp.in
- Pool.uasecurity.org
- pool-proxy.uasecurity.org
URLs
- https://github.com/backend-url-provider/access/raw/refs/heads/main/
- https://uasecurity.org/
MD5
- 617be84b21428a5f7e137a95d073e077
- 7c3d7cddaf755343a9c32b30739db6e3
- ca99c4a78ca038780d6dcc79390388b4
