Badacze z firmy Trend Micro przyjrzelisię bliżej dwóm androidowym aplikacjom: *Songs i Prized,*przeznaczonym przede wszystkimdla użytkowników z Indii. Pierwsza z nich cieszy się sporąpopularnością, liczba instalacji mieści się w przedziale od 1 mlndo 5 mln, druga, wydana całkiem niedawno, zainteresowała między 10tys. a 50 tys. użytkowników. Żaden z nich nie mógł sądzić, żeoprócz oferowania dostępu do indyjskiej muzyki czy prostych quizów,aplikacje te robią coś jeszcze – zamieniają smarfon czy tablet wkoparkę kryptowalut.
Oprogramowania takiego nie można określić inaczej, jakzłośliwe. Uruchamia ono w tle dobrze znanego cpuminera, gdy tylkowykryje, że urządzenie ma dostęp do Internetu – i jestpodłączone do ładowarki. To roztropne zabezpieczenie ze stronyoperatorów górniczych botnetów, utrudnia bowiem ofierzezauważenie, że coś niedobrego dzieje się z telefonem. Proceswyliczania kryptowalut na telefonie jest bowiem ogromnienieefektywny, prowadząc do spowolnienia urządzenia i błyskawicznegozużycia baterii.
Ile w ten sposób napastnicy mogli zarobić, trudno powiedzieć.Najlepsze procesory ARM, stosowane w telefonach czy tabletach, są wstanie wyliczyć 3-4 kH/s. Dla porównania najlepsze karty graficzne,wykorzystywane do wyliczania litecoina i jego klonów (na baziealgorytmu scrypt), np. Radeon R9 290X, są w stanie zapewnićwydajność na poziomie 950 kH/s. Przy obecnym poziomie trudnościwyliczania litecoinów oznacza to, że jeden smartfon jest w stanie„wykopać” około 0,02 litecoina miesięcznie, tj. około 30centów. Wydaje się, że nie jest to wiele – ale w sytuacji, gdyliczeniem zajmuje się milion takich smartfonów, nagle przychody ztakiego botnetu okazują się warte zachodu.
Trudno powiedzieć, ile aplikacji w Google Play należy do klasyszkodników, którą ludzie w białych kapeluszach z G Data nazwaliw lutym tego roku ANDROIDOS_KAGECOIN.HBT. Odkryty przez nich szkodnikAndroid.Trojan.MuchSad.A w aplikacji TuneIn Radio Pro zajmowałsię wyliczaniem popularnych ostatnio dogecoinów. Jako jednak żenie był dostępny w Google Play, a jedynie w kilku pirackichsklepach, skala infekcji była niewielka, cyberprzestępcom udałosię zarobić wówczas jedynie 1853 dogecoiny, warte co najwyżejkilkanaście złotych.
Pojawienie się tego typu szkodników w oficjalnym sklepieGoogle'a zmienia jednak postać rzeczy. Jeśli aplikacja uzyskapopularność porównywalną do tej, jaką ma Songs,to nic tylko tworzyć kolejne takie aplikacje – moderatorzyMountain View najwyraźniej nie bardzo się starają podczas testówaplikacji przed ich dopuszczeniem do sklepu. Konsekwencjezainstalowania ukrytej koparki są zaś dla ofiary naprawdęnieprzyjemne – czeka ją nie tylko spowolnienie ładowaniaurządzenia, ale też szybsze jego zniszczenie, intensywnyobliczeniowo proces odwracania skrótów algorytmu scrypt nie jestbowiem przyjazny dla elektroniki.
Wkrótce po opublikowaniu przezbadaczy Trend Micro wpisu na ich blogu, Google usunęło aplikacjęPrized,wciąż jednak do pobrania dostępny jest Songs.
