Pesquisadores da Trend Micro descobriram recentemente uma nova linhagem de ANDROIDOS HIDDENMINER que podem lesar os dispositivos infectados.

Como sabemos o interesse de criminosos virtuais na mineração de critpmoedas em dispositivos móveis.

E este minerador Android utiliza o dispositivo para minerar Monero, que é a moeda preferida para este tipo de ação devido, logicamente, a sua natureza maior de privacidade.

O HiddenMiner implementa técnicas de evasão e é capaz de contornar análises automatizadas verificando se está sendo executado em ambiente virtualizado abusando de um detector de emulador do Android que é facilmente encontrado no GitHub.

“Descobrimos um novo Malware para Android que pode usar secretamente o poder de computação do dispositivo infectado para minerar Monero. A Trend Micro detectou isto como ANDROIDOS_HIDDENMINER “, diz a análise publicada pela Trend Micro.

“Este minerador Monero tem mecanismos de autoproteção e persistência incluindo a possibilidade de torná-lo invisível e abusar do recurso de Administrador do dispositivo (uma técnica normalmente vista no SLockerAndroid ransomware).”

Os especialistas encontraram os pools e carteiras Monero conectados ao Malware HiddenMiner e descobriram que os operadores do sistema geraram 26 XMR ( ou US $ 5.360 em 26 de março de 2018) em um das carteiras.

Esta informação sugere que os operadores ainda estão ativos no momento.

O HiddenMiner abusa do poder da CPU do dispositivo para minerar Monero e infelizmente a requisição do recurso computacional é tão forte que a CPU pode superaquecer, fazendo com que o dispositivo bloqueie, falhe e seja danificado permanentemente.

“Não há comutador, controlador ou otimizador no código do HiddenMiner o que significa que ele irá extrair continuamente Monero até que os recursos do dispositivo estejam esgotados”, continua a análise.

“Dada a natureza do HiddenMiner ele pode causar o superaquecimento do dispositivo afetado e potencialmente, falhar.”

Este comportamento já foi observado no passado onde o Malware Loapi de mineração Monero causava um inchaço na bateria de um dispositivo.

O HiddenMiner tal qual o Loapi bloqueia a tela do dispositivo após revogar as permissões de administrador do dispositivo.

O ANDROIDOS HIDDENMINER está sendo distribuído através de um aplicativo de atualização do Google Play. Os especialistas encontraram o aplicativo em mercados de aplicativos de terceiros.

O minerador está afetando principalmente usuários da Índia e da China mas os especialistas temem que ele possa a vir atingir rapidamente outros países.

Os desenvolvedores do malware estão abusando da permissão de administração de dispositivo e os especialistas apontam que os usuários não podem desinstalar um pacote de administração do sistema ativo até que os privilégios de administrador do dispositivo sejam removidos primeiro.

As vítimas do HiddenMiner não podem remover o minerador da Administração do dispositivo pois ele emprega um truque para bloquear a tela do dispositivo quando um usuário tenta desativar os privilégios da lista branca de administração do dispositivo.

Especialistas explicaram que ele explora uma vulnerabilidade encontrada nos sistemas operacionais Android com exceção do Nougat e versões posteriores.

“De fato, o HiddenMiner é mais um exemplo de como os criminosos cibernéticos estão libdando com a onda de mineração de criptomoedas.” – conclui a Trend Micro.

“Para usuários e empresas isso reforça a importância de praticar a segurança e limpeza em seus dispositivos móveis: somente fazer o download em mercados de aplicativos oficiais, atualizar regularmente o sistema operacional do dispositivo ( ou peça ao seu fabricante que ele lhe remeta a atualização ) e seja mais prudente nas permissões que está concedendo a aplicações.”

Via Security Affairs