Millones de dispositivos Android son forzados a minar la criptomoneda Monero

13/02/2018

Ningún dispositivo está a salvo de los ladrones que buscan enriquecerse minando sigilosamente alguna criptomoneda. Aun si el poder de procesamiento de los dispositivos es mínimo, es una ganancia segura para los ladrones.

Teniendo esto en cuenta, los ataques forzados de cripto minería también han comenzado a afectar a los teléfonos móviles y tabletas de forma masiva, ya sea a través de aplicaciones troyanizadas o redirecciones y pop-unders.

Se ha documentado recientemente un caso por los investigadores de Malwarebytes.

El ataque

"Es una campaña que observamos por primera vez a finales de enero, pero que parece haber comenzado alrededor de noviembre de 2017, en la cual millones de usuarios móviles (creemos que los dispositivos Android son el principal objetivo) han sido redirigidos a una página específicamente diseñada para realizar minería desde el navegador web", compartieron los investigadores.

El número de víctimas podría ser incluso mucho mayor del sospechado, ya que se cree que algunos de los dominios utilizados para estos fines permanecen sin ser detectados.

El ataque se realiza de la siguiente manera: los usuarios son redirigidos a través de enlaces hacia sitios web maliciosos. En esta campaña en particular, los usuarios de Internet Explorer y Chrome fueron dirigidos a sitios que ofrecen estafas de soporte técnico, pero los usuarios de Android fueron enviados a una página para minar criptomonedas:

Curiosamente, la página dice que el navegador extrae criptomonedas hasta que el usuario demuestre que es humano, resolviendo un CAPTCHA. Pero la advertencia y la prueba de captcha son falsas, son solo una forma de hacer que la minería forzada adquiera un toque de legitimidad.

¿Qué tan extendida y efectiva es esta forma de ataque?

Los investigadores identificaron varios dominios idénticos, todos usando el mismo código CAPTCHA pero usando diferentes claves de sitio de Coinhive en el script utilizado para minar.

Dos de estos dominios han recibido más de 66 millones de visitantes desde noviembre de 2017 y estiman que el tráfico combinado de los cinco dominios que identificaron hasta ahora equivale a aproximadamente 800,000 visitas por día, con un tiempo promedio de cuatro minutos en la página de minería.

¿Cuánto dinero se podría obtener de Monero con esta operación? Es difícil de saber.

"Debido a la baja tasa de hash y el tiempo limitado que un usuario permanece en el sitio, estimamos que este esquema probablemente solo genere unos pocos miles de dólares cada mes. Sin embargo, a medida que las criptomonedas continúen ganando valor, esta cantidad podría multiplicarse fácilmente varias veces ", anotaron los investigadores.

También señalaron que, si bien estos dispositivos son menos poderosos que las computadoras de escritorio, también hay un número mucho mayor de ellos, aunado a que muchos usuarios no se molestan en instalar aplicaciones de seguridad en sus teléfonos inteligentes y tabletas. Es por esto que se puede realizar este tipo ataques con poco esfuerzo y de manera efectiva.

Consejos para usuarios

"Si bien los usuarios de Android pueden ser redirigidos de la navegación normal, creemos que las aplicaciones infectadas que contienen módulos de anuncios están cargando enlaces similares que conducen a esta página de cripto minería. Es posible que esta campaña en particular busque tráfico de baja calidad, pero no necesariamente bots, y en lugar de publicar anuncios típicos que podrían desperdiciarse, optaron por obtener ganancias utilizando un minero de Monero basado en el navegador ", dijeron los investigadores.

Si usted es usuario de Android y ha comenzado a ver estas páginas falsas regularmente, es probable que una de las aplicaciones que ha descargado recientemente sea la culpable. Desinstalarla debería solucionar el problema a menos que tenga algún tipo de mecanismo de persistencia.

En general, es una buena idea instalar una solución confiable de seguridad en su dispositivo para verificar si hay código malicioso y comportamiento en alguna de las aplicaciones que se descargan e instalan en el dispositivo.

Artículos relacionados: