Ukryte koparki w sklepie Google Play

Gdy komputer zaczyna wolniej działać, zwykle na myśl przychodzi nam infekcja wirusem. Jednak w przypadku smartfonów ospałość sprzętu, przegrzewanie się czy szybsze rozładowywanie baterii przypisujemy zwykle wiekowi urządzenia. Wtedy najczęściej decydujemy się na zakup nowego. Jednak może się okazać, że problem leży gdzieś indziej — a dokładniej w potajemnym wydobywaniu kryptowalut.

Gdy komputer zaczyna wolniej działać, zwykle na myśl przychodzi nam infekcja wirusem. Jednak w przypadku smartfonów ospałość sprzętu, przegrzewanie się czy szybsze rozładowywanie baterii przypisujemy zwykle wiekowi urządzenia. Wtedy najczęściej decydujemy się na zakup nowego. Jednak może się okazać, że problem leży gdzieś indziej — a dokładniej w potajemnym wydobywaniu kryptowalut.

Największe znaczenie ma moc obliczeniowa sprzętu. Oczywiście w kwestii wydajności urządzenia mobilne nie mogą konkurować z klasycznymi komputerami wyposażonymi w najnowsze karty graficzne, jednak z punktu widzenia cyberprzestępców sytuację ratuje zaangażowanie wielu urządzeń. Dla ludzi, którzy lubią wykorzystywać moc obliczeniową sprzętu należącego do kogoś innego, zatrudnienie do własnych celów milionów urządzeń to bardzo kuszący pomysł.

Zainfekowanie smartfonu czy tableta ukrytą koparką jest bardzo proste. Właściciel urządzenia nie musi świadomie instalować koparki ani pobierać aplikacji z szemranego źródła. Ukryte koparki można nieświadomie „nabyć”, pobierając i instalując teoretycznie nieszkodliwe aplikacje, które są dostępne w oficjalnym sklepie Google Play.

Koparki w Google Play

Zazwyczaj koparki udają przydatne narzędzia lub gry, które jednak nie działają tak, jak wynika z ich opisu. Zamiast tego wyświetlają reklamy i potajemnie wydobywają kryptowaluty. Co do zasady Google Play i inne oficjalne sklepy nie wpuszczają takich produktów do swojej oferty, a jeśli już uda im się przedostać, szybko je odnajdują i usuwają. Z tego względu takie szkodliwe aplikacje są dystrybuowane głównie poprzez fora i nieoficjalne sklepy. Jedynym problemem dla cyberprzestępców jest fakt, że z takich źródeł korzysta niewiele osób.

Znaleźli więc rozwiązanie: jeśli aplikacja naprawdę będzie robić to, co wynika z opisu, a szkodliwy program zostanie w niej starannie zamaskowany, ma szansę przedostać się do sklepu. Tak się kiedyś stało — utworzony został botnet wykorzystujący smartfony, który omijał zabezpieczenia sklepu Google Play i wielu innych sklepów z aplikacjami. Eksperci z Kaspersky Lab wykryli niedawno kilka podobnych przykładów, tym razem szkodliwe programy miały wbudowane koparki.

Najpopularniejsza aplikacja, jaką znaleźliśmy, była związana z piłą nożną: była to rodzina aplikacji, które w nazwie miały „PlacarTV” (placar oznacza po portugalsku wynik). Jedna z nich została pobrana ponad 100 tys. razy, a zawierała koparkę Coinhive wydobywającą monety Monero, gdy użytkownicy transmitowali swoją grę. Był to sprytny ruch: gdy grasz, wiesz, że oglądane filmy zwiększają temperaturę telefonu i szybciej rozładowują baterię — tak jak koparka — więc nie masz powodu do podejrzeń.

Nasi eksperci odkryli także koparkę znajdującą się w darmowej wersji aplikacji do tworzenia wirtualnej sieci prywatnej, o nazwie Vilny.net. Ten szkodliwy program kontrolował temperaturę i stan naładowania baterii telefonu. W razie potrzeby wstrzymywał kopanie, aby uniknąć przegrzania lub wyczerpania baterii telefonu, co mogłoby przyciągnąć uwagę właściciela urządzenia. W naszym serwisie SecureList opublikowaliśmy post zawierający szczegóły techniczne tej koparki.

Tak wygląda komunikat o wykrytej ukrytej koparce. Z technicznego punktu widzenia nie jest to wirus, choć i tak nie ma powodu do radości

O wykryciu tych aplikacji poinformowaliśmy już firmę Google, która usunęła je ze swojego sklepu (choć nadal dostępna jest gra Vilny.net). Niestety nie można mieć pewności, że w przyszłości nie pojawią się tam jakieś inne aplikacje zawierające ukryte koparki. Warto o tym pamiętać.

Jak unikać infekcji ukrytymi koparkami na Androidzie

  • Jeśli Twój smartfon zaczął zachowywać się dziwnie, nie ignoruj tych oznak. Szybkie nagrzewanie się i utrata energii bez powodu może wskazywać na infekcję. O tym, że jakaś aplikacja nagle ma zbyt duży wpływ na baterię, poinformuje Cię nasza specjalna aplikacja Kaspersky Battery Life.
  • Szukając aplikacji, weź pod uwagę opinię o autorze. Oprogramowanie od twórców cieszących się dobrą opinią raczej nie jest zainfekowane.
  • Zainstaluj na swoim urządzeniu Kaspersky Internet Security for Android. Wykryje on wszystkie koparki, także te, które niepostrzeżenie przegrzewają lub rozładowują urządzenie. Twój telefon zużywają nawet te koparki, które z założenia mają okresowo nie działać — a niektóre mogą go nawet ugotować.
Porady