Исследователи из компании Trend Micro обнаружили вредонос для мобильных платформ, который потенциально способен физически повредить смартфон. Дело в том, что после заражения гаджета зловред, получивший название HiddenMiner, задействует все вычислительные ресурсы для беспрерывного тайного майнинга криптовалюты Monero. Из-за чрезмерного нагрева процессор может перестать работать.

Так, антивирусные аналитики выявили, что в коде HideMiner нет никаких контроллеров либо оптимизаторов. То есть, смартфон будет непрерывно добывать Monero, пока устройство не выйдет из строя в результате перегрева или другого аппаратного сбоя.

Экспертам Trend Micro удалось найти кошельки Monero, связанные с вредоносным ПО. Они узнали, что кибермошенники около недели назад сняли с одного из кошельков 26 XMR (или 5360 долларов по курсу на 26 марта 2018 года). Это указывает на довольно активную деятельность злоумышленников по заражению устройств и использованию их для майнинга криптовалют.

HiddenMiner позиционируется как легитимное приложение для обновления Google Play, которое появляется на дисплее с названием com.google.android.provider и в комплекте с официальной пиктограммой Google Play. Вредонос требует, чтобы пользователи предоставили ему доступ на функционирование в качестве администратора устройства. Окно с этим запросом будет появляться постоянно, пока жертва не нажмет кнопку «Активировать». После получения такого разрешения внедонос начнет добывать Monero в фоновом режиме.

Вредоносное ПО использует несколько методов, чтобы скрыть себя в устройствах, среди них: очистка метки приложения и использование прозрачного значка после установки. После активации в качестве администратора устройства зловред удалит свое название из панели задач. Обратите внимание, что HiddenMiner спрячет себя и автоматически будет функционировать с правами администратора до следующего запуска устройства. Кстати, рекламное ПО Android-adware DoubleHidden использует аналогичные методы.

Пользователи не смогут деинсталлировать из системы вредоносный код до тех пор, пока у приложения не будут отменены права администратора устройства. Однако жертва HiddenMiner и этого не сможет это сделать, так как если пользователь пытается отключить права администратора на своем устройства, то вредоносное ПО немедленно блокирует экран. Для этого зловред использует уязвимость, которая присутствует в операционных системах Android до версии Nougat (Android 7.0) и более поздних.

По методике самозащиты HiddenMiner напоминает вредоносное ПО Android Loapi Monero, которое, по мнению других исследователей безопасности, вызывало вздутие батареи устройства. Фактически, метод Loapi по блокировке экрана при попытке отзыва разрешений на администрирование устройства аналогичен HiddenMiner.

Google разрешил вышеназванную проблему безопасности в Nougat и более поздних ОС Android, уменьшив уровень привилегий приложений, являющихся администраторами устройства. Теперь они больше не могут блокировать экран (если это часть функции приложения).

HiddenMiner распространяется через сторонние порталы приложений, на Google Play вредонос отсутствует. Пока что зловред поражает только пользователей в Индии и Китае, однако есть вероятность, что вирусный код выйдет за пределы этих стран.

Стоит отметить, что HiddenMiner — еще один пример того, как киберпреступники пользуются криптовалютной лихорадкой. А для пользователей и компаний вышеописанный случай еще раз свидетельствует о важности соблюдения правил безопасности для мобильных устройств: загружайте ПО только с официальных порталов приложений, регулярно обновляйте ОС устройства (или интересуйтесь у производителя оборудования доступностью таких обновлений). Особо внимательными и осторожными нужно быть в отношении разрешений, которые вы предоставляете приложениям.