Miner occulti su Google Play

4 Apr 2018

Quando un computer inizia a non funzionare con la stessa velocità di un tempo, in molti danno la colpa ai virus. Tuttavia, se questo stesso problema riguarda gli smartphone, oppure si surriscaldano facilmente o la batteria dura poco, pensiamo che il telefono è semplicemente vecchio e va cambiato. E invece il problema potrebbe essere un altro, il tutto potrebbe essere dovuto al mining occulto.

Quando si parla di mining, è importante tenere in considerazione la potenza computazionale. Ovviamente, dal punto di vista delle prestazioni, i dispositivi mobili non possono competere con i computer che possono essere dotati di potenti schede grafiche di ultima generazione. Tuttavia, agli occhi dei cybercriminali, è il gran numero di dispositivi a fare gola, che può sopperire alla mancanza di potenza. Un cybercriminale succhia come una sanguisuga la potenza computazionale di altri utenti e poter avere a disposizione milioni di dispositivi è un’opportunità da non lasciarsi scappare.

Infettare uno smartphone o un tablet con un miner occulto è estremamente semplice, il che è anche molto preoccupante. Il proprietario del dispositivo può non venire mai a saperlo e non è neanche necessario che installi un’app da una fonte non sicura. Si può essere infettati da un miner occulto anche soltanto scaricando e lanciando un’app apparentemente innocua disponibile su Google Play.

Miner su Google Play

Normalmente i miner assumono le sembianze di un tool o di un gioco innocente per poi dedicarsi a mostrare pubblicità e al mining di criptomonete. Di solito, Google Play e gli altri store ufficiali tengono alla larga queste app e, anche quando riescono a intrufolarsi, le trovano subito e le eliminano dai propri store. Per questo, tali app dannose si fanno strada soprattutto nei forum e negli store non ufficiali e, si sa, non sono in molti a scaricare qualcosa da fonti di questo tipo (un gran peccato per i cybercriminali).

Invece ora sono riusciti ad aggirare il problema: se un’app fa ciò che promette nella sua descrizione e il malware è camuffato in maniera eccellente, queste app dannose riescono a sfuggire ai controlli. Ed è già successo: una botnet di smartphone è riuscita a bypassare l’occhio vigile di Google Play e di altri app store. Gli esperti di Kaspersky Lab hanno individuato di recente anche altri esemplari, e questa volta con miner integrati.

Le app dannose più diffuse di questo tipo sono relazionate al mondo del calcio: ad esempio, c’è una famiglia di app, tra cui PlacarTV (placar in portoghese significa punteggio) con oltre cento mila download, in cui è presente il miner Coinhive che effettua il mining di Monero mentre gli utenti vedono partite online. Un trucchetto intelligente e difficile da scoprire. La mente dell’utente è concentrata sulla partita e, si sa, guardare un video in streaming surriscalda il telefono e consuma batteria. Proprio quello che fa un miner ed è normale, quindi, che l’utente non si insospettisca.

I nostri esperti hanno trovato miner anche in un’app gratuita di VPN chiamata Vilny.net. Il trucco del malware stavolta risiede nel mantenere sotto controllo la temperatura e il livello di batteria dello smartphone. Il malware, infatti, sospende la sua attività di mining prima che il proprietario del dispositivo arrivi a notare un surriscaldamento del proprio telefono o un consumo eccessivo di batteria. Su Securelist troverete maggiori dettagli tecnici di questo miner.

Ecco cosa appare quando viene individuato un miner occulto. Tecnicamente è un brutto Not-a-virus.

Abbiamo informato Google della presenza di queste app: quelle che riguardano il calcio sono già state eliminate, mentre Vilny.net è ancora disponibile sullo store. E poi non c’è alcuna garanzia che altre app di miner occulti in futuro non riescano comunque a intrufolarsi. Insomma, spetta a voi rimanere sempre in guardia.

Come proteggervi dai miner occulti su Android

  • Se il vostro smartphone inizia a comportarsi in modo strano, non ignorate il problema. Se si riscalda tropo velocemente o si scarica senza motivo apparente, probabilmente è stato infettato da un malware. Grazie a Kaspersky Battery Life potete scoprire quale app sta consumando troppa batteria sul vostro telefono;
  • Quando andate alla ricerca di una nuova app, fate attenzione a chi sono gli sviluppatori. Se si tratta di sviluppatori rispettabili, è meno probabile che i loro software siano infetti;
  • Installate Kaspersky Internet Security for Android sul vostro dispositivo. Vi aiuterà a individuare i miner, anche quelli che surriscaldano il dispositivo o consumano batteria in maniera subdola. E anche quelli che si disattivano periodicamente alla fine creano danni ai vostri dispositivi, fino a bruciarli