В Google Play обнаружены легитимные приложения со скрытыми майнерами

В Google Play обнаружены легитимные приложения со скрытыми майнерами

Эксперты «Лаборатории Касперского» изучили мобильные приложения для майнинга криптовалют и обнаружили, что преступники всё чаще используют для заработка денег внешне легитимные приложения со скрытыми майнерами. В частности, подобный функционал был найден в нескольких приложениях для просмотра футбола и установки VPN-соединений. Таким образом злоумышленники наживаются на сотнях тысячах пользователей, которые даже не подозревают об этом.

Согласно данным «Лаборатории Касперского», самые популярные легитимные приложения-майнеры связаны с футболом. Их основная функция — показ футбольных видеороликов, во время чего они скрытно добывают криптовалюту. Когда пользователь запускает приложение, оно открывает HTML-файл со встроенным скриптом Coinhive, который использует ресурсы устройства для добычи валюты Monero. Часть этих приложений распространялась через Google Play, самое популярное было загружено более 100 тысяч раз. Большинство загрузок (90%) пришлись на Бразилию. На данный момент все заражённые приложения удалены из официального магазина.

Другой мишенью для майнеров стало приложение для создания VPN-соединения. VPN — виртуальная частная сеть. С её помощью пользователи могут получить доступ к веб-ресурсам, которые недоступны из-за локальных ограничений провайдера. «Лаборатория Касперского» нашла функционал майнера в приложении Vilny.net. Интересно, что оно отслеживает уровень заряда устройства и его температуру — таким образом риск обнаружения снижается до минимума. Приложение скачивает исполняемый файл майнера с сервера и запускает его в фоновом режиме. Vilny.net было загружено более 50 тысяч раз, в основном украинскими и российскими пользователями.

Все решения «Лаборатории Касперского» обнаруживают подобные приложения и идентифицируют их как потенциально опасное ПО (riskware).

«Наши выводы показывают, что авторы вредоносных майнеров активно развивают свои техники и разрабатывают новые подходы. Всё это для более эффективной добычи криптовалюты. Теперь они делают это и с помощью легитимных приложений со скрытым функционалом. Так они зарабатывают на каждом пользователе дважды — сначала через рекламу в приложении, а потом и с помощью майнинга», — отметил Роман Унучек, антивирусный эксперт «Лаборатории Касперского».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Ботнет KashmirBlack атакует сайты через бреши в CMS

Относительно новый ботнет KashmirBlack взламывает сайты, используя брутфорс и непропатченные уязвимости в популярных CMS-системах, их темах и плагинах. В состав вредоносной сети, по оценкам экспертов, входят десятки тысяч зараженных серверов, расположенных в разных странах и способных суммарно проводить миллионы атак в сутки. В настоящее время KashmirBlack используется для майнинга криптовалюты, перенаправления трафика на площадки мошенников, а также для дальнейшего распространения инфекции.

По данным Imperva, данный ботнет объявился в интернете в ноябре 2019 года и до сих пор активен. Он способен проводить атаки на сайты WordPress, Drupal, Magneto, Joomla, vBulletin, PrestaShop, OSCommerence, OpenCart и Yeager. Заражения обнаружены более чем в 30 странах — в основном в США. Информация, собранная экспертами с помощью ловушек за пять месяцев (с января по май), также дала понять, что KashmirBlack обладает обширной и сложной С2-инфраструктурой, позволяющей операторам быстро заменять отдельные компоненты и перепрофилировать ботнет, не прерывая текущих операций.

 

В качестве центра управления ботоводы долгое время использовали взломанный сайт в Индонезии; месяц назад они с этой целью откочевали на Dropbox. Инструменты атаки, раздаваемые ботам, злоумышленники хранят на десятках взломанных серверов, которые разделены на две группы: «репозиторий A» с балансировкой нагрузки и «репозиторий B». Первая охватывает около десятка серверов, отдающих Python-скрипт для коммуникаций с C&C. Во вторую группу по состоянию на май входило 74 взломанных сайта, размещенных на 53 различных хостах; эти хранилища используются для раздачи наборов эксплойтов и полезной нагрузки (Perl-скрипта и бэкдоров).

В отдельном репозитории на GitHub операторы ботнета какое-то время хранили криптомайнер XMRig и скрипты PHP, позволяющие выполнять шелл-команды на сервере в ходе атаки. В мае этот GitHub-аккаунт был закрыт. Веб-сервис Pastebin злоумышленники используют как средство анонимного обмена статистикой по заражениям.

Примечательно, что по статусу боты KashmirBlack неодинаковы. Так называемый spreading-бот (взломанный сервер с набором вредоносных скриптов) постоянно поддерживает связь с центром управления в ожидании команды на проведение атак и списка мишеней. Согласно наблюдениям, каждый spreading-бот ежедневно атакует в среднем 240 хостов (3450 сайтов). Вторая разновидность — pending-бот — представляет собой забэкдоренный сайт, который злоумышленники могут в дальнейшем использовать для добычи криптовалюты или превратить в редиректор, репозиторий либо spreading-бот.

В настоящее время в арсенале KashmirBlack числится более двух десятков эксплойтов, которые позволяют получить следующие результаты:

  • создание нового spreading-бота (CVE-2017-9841, баг удаленного исполнения кода во фреймворке PHPUnit);
  • создание нового pending-бота (различные эксплойты для CMS, тем и плагинов; полный список приведен в блог-записи Imperva);
  • дефейс сайта (эксплойт для WebDAV-сервера, обеспечивающий беспрепятственную загрузку произвольных файлов).

Анализ сайтов, подвергнутых дефейсу с помощью KashmirBlack, выявил возможную связь ботоводов с индонезийской группой хакеров PhantomGhost.

В случае заражения (см. список индикаторов в блоге Imperva) эксперты советуют принять следующие меры:

  • принудительно завершить ассоциируемые с KashmirBlack процессы;
  • удалить вредоносные файлы;
  • удалить подозрительные cron-задачи;
  • удалить неиспользуемые темы и плагины.

В качестве мер профилактики администраторам сайтов рекомендуется усилить парольную защиту, своевременно обновлять компоненты CMS и сторонние модули, ограничить доступ к важным файлам (install.php, wp-config.php, eval-stdin.php), а также установить файрвол для веб-приложений.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru