Aplicaciones falsas de Android incluyen el JavaScript Coinhive para minar Monero

En MuySeguridad hemos informado en muchas ocasiones sobre aplicaciones falsas para Android que realizan todo tipo de tareas maliciosas, con especial mención al phishing para hacerse con datos sensibles de los usuarios, sobre todo cuando se trata de los bancarios.

Las aplicaciones maliciosas para Android suelen tener su origen en las tiendas de terceros, sin embargo, hay personas lo suficientemente habilidosas como para colar malware en la misma Play Store de Google sin ser detectados rápidamente. Según la información que ha recogido HackRead, se han detectado aplicaciones que tienen en su interior a Coinhive, la conocida biblioteca en JavaScript dedicada a minar la criptodivisa Monero sobre los dispositivos en los que se ejecuta.

No es la primera vez que mencionamos a Coinhive en este portal, de hecho uno de los motivos de por qué se hizo conocida fue porque se encuentra implementada en el sitio web The Pirate Bay como sistema de monetización alternativo. Sin embargo, mientras que al menos el conocido portal de descargas es transparente en su utilización, Coinhive está siendo usada de forma fraudulenta en muchos sitios web maliciosos y otros tipos de aplicaciones.

Lo que hace Coinhive es ejecutar un mecanismo de minado que se aprovecha de los recursos del dispositivo del usuario final (el navegador web o la aplicación). Dicho de otra forma y tomando el ejemplo de The Pirate Bay, cada usuario que visita ese sitio web, al menos que utilice algún tipo de bloqueador, empezará a minar Monero en su propio ordenador, algo que puede percibir debido a un posible gran aumento en el uso de la CPU.

Según Elliot Alderson, descubridor del caso que nos ocupa, existe un sitio web que ofrece instaladores APK de forma gratuita. El investigador en seguridad ha explicado que el hacker detrás de esta campaña ha cogido aplicaciones aparentemente legítimas y las ha reempaquetado con Coinhive en su interior, utilizando otras para distribuirlas. Además, se ha encontrado que al mismo pedazo de software se le ha cambiado el nombre de la aplicación, del paquete y el icono 291 veces, por lo que se está distribuyendo como 291 aplicaciones distintas.

Echando un vistazo al sitio web que distribuye los instaladores APK falsificados, androidapk.world, se puede ver que está totalmente indexado por el buscador de Google sin levantar ninguna sospecha. Las aplicaciones mejor posicionadas del sitio web tampoco son causalidad, ya que se pueden encontrar a Super Mario Run, Ballz e Injustice 2.

El sitio web fue registrado en marzo de 2017 y sus contadores muestran millones de descargas realizadas desde ahí, por lo que es de suponer que las aplicaciones falsificadas han tenido un gran impacto a la hora llevar a cabo su propósito malicioso, la de minar Monero sin consentimiento del usuario final. Sin embargo, también cabe la posibilidad de que los números hayan sido inflados por los cibercriminales.

La aparición de aplicaciones que se dedican a minar criptomonedas es un giro de tuerca frente a lo visto hasta ahora, ya que este proceso se sigue haciendo sobre todo a través de la web. Sin embargo, en los móviles hay muchos usuarios que han dejado el navegador web en un lugar secundario, utilizando aplicaciones instaladas localmente en su lugar.

Desde MuySeguridad recomendamos una vez más esquivar las tiendas de terceros para evitar las infecciones por malware o bien la utilización del smartphone o tablet para propósitos ilegítimos como el que nos ocupa en esta entrada.