Cybercriminelen die focussen op mobiele malware spelen snel(ler) in op nieuwe trends om een een breder publiek te bereiken. Eén van die hot topics op dit moment: cryptocurrencies.
Cybercriminelen misbruiken de hype rond cryptocurrencies op verschillende manieren. Sommige zogenaamde mobile miners trachten deze digitale munten te ontginnen zonder medeweten van de gebruiker, terwijl anderen de gebruiker trachten te misleiden om malware te installeren door hen een deel van de gedolven munten te beloven. Maar in feite zullen ze gewoon illegale advertenties weergeven. Daarnaast probeert de meer geavanceerde malware de cryptocurrency wallet-credentials van de gebruiker te verkrijgen om zijn digitaal geld te stelen.
Mobile miners hebben wel een paar dingen gemeen. Zo kunnen de meesten onder hen ‘vrij eenvoudig’ officiële app-winkels zoals Google Play en Apple’s App Store infiltreren. Bovendien gebruiken ze quasi allemaal technologieën die door andere malwarefamilies zijn geïntroduceerd, zoals banker-malware en adware, om hun resultaten te verbeteren.
De volgende drie trends zien we nu steeds meer opduiken.
Undercover mining
Een eerste type ziet eruit als een officiële en legitieme app. Maar na het downloaden ervan infecteert de malware het toestel van het slachtoffer om vervolgens de rekenkracht van het apparaat te gebruiken om cryptocurrencies te ontginnen.
Deze malware tracht een groot aantal apparaten te infecteren om zo een botnet te vormen. Omdat ze een relatief minimale kwaadaardige activiteit vertonen, slagen ze er ook vaak in om gemakkelijk door de beveiliging van een app store te glippen. Deze ‘stille cryptominers’ zijn aan een sterke opmars bezig.
Aan de infiltratie van deze kwaadaardige apps in Google Play komt maar geen eind. Onderzoekers identificeerden bijvoorbeeld een mining-malware die al meer dan tienduizend downloads had. Een andere malware beloofde gebruikers via sms-berichten gratis bitcoins, maar misbruikte in plaats daarvan hun apparaat voor cryptomining.
Scam Miners: Mining advertenties van gebruikers
De waarde van cryptocurrencies stijgt snel. Begrijpelijk dus dat velen snel actie willen ondernemen. Maar ze hebben echter niet allemaal de technische mogelijkheden en capaciteit die nodig zijn om ze te ontginnen.
Cybercriminelen profiteren dus van deze ‘dodelijke’ combinatie van het verlangen en het gebrek aan kennis door gebruikers een deel van de ontgonnen munten te beloven in ruil voor het vrijwillig installeren van ‘mining’-software. Deze belofte om snel rijk te worden is echter hol en alle gebruikers krijgen in ruil voor hun goede wil ongewenste en illegale advertenties waarvan enkel de ontwikkelaar profiteert.
Ook van dit type malware vonden security onderzoekers op Google Play een voorbeeld, in een app die meer dan honderdduizend downloads bereikte. De app in kwestie beweerde bitcoins te ontginnen en beloofde elke nieuwe gebruiker vijftigduizend Satoshis (de kleinste eenheid in bitcoin, ter waarde van ongeveer tien euro op het moment van publicatie). Aangezien de app stelt dat de gebruiker zich alleen kan terugtrekken nadat er een gigantische hoeveelheid bitcoins is verzameld, krijgt de gebruiker zijn deel nooit uitbetaald omdat de hoeveelheid bitcoin die ze moeten verdienen, nooit zal worden bereikt. De app vraagt gebruikers bovendien een vijfsterrenwaardering te geven om zijn reputatie op te blazen waardoor het in staat is nog meer gebruikers te misleiden.
Crypto-bankers
Ten slotte, en misschien wel het schadelijkst, zijn mobile miners die de inloggegevens van een slachtoffer proberen te stelen door populaire cryptocurrency-sites na te bootsen.
Een eerste voorbeeld hiervan is in oktober ontdekt op Google Play. De malware deed zichzelf voor als de mobiele app van Poloniex cryptocurrency exchange. Eenmaal gedownload, vroegen de hackers de gebruiker om zijn inloggegevens in te voeren, zogenaamd om verbinding te maken met zijn account. In werkelijkheid werd de gebruiker omgeleid naar een gecompromitteerde site `połoniex.com’ (let op de vreemde en valse ‘l’) in plaats van’ poloniex.com ‘.
De apps met de malware werden uit de Play Store verwijderd, maar nog geen maand later vond Check Point een nieuwe variant, wederom vermomd als een Poloniex-app. Deze keer hadden de hackers zich frauduleus kunnen registreren als een @poloniex.com-account. Ook deze malware telde al meer dan tienduizend downloads.
Mobiele malware is er zelfs in geslaagd om de beveiliging van Apple te doorbreken en de App Store binnen te dringen, met een vergelijkbare malware die accountgegevens en authenticaties van de gebruikers probeert te ontfutselen. De malware werd snel verwijderd nadat bezorgde gebruikers de verdachte activiteit meldden. Maar dit is een waarschuwing dat geen enkele app-store veilig is voor mobiele malware.
Kristof Lossie, SE team leader Belgium & Luxemburg