Майнеры Coinhive обнаружены в Android-приложениях и на WordPress-сайтах⁠⁠

Начиная с сентября 2017 года мы наблюдаем за явлением, которое получило имя криптоджекинг (cryptojacking). Суть криптоджекинга предельно проста: в код сайтов внедряют специальные скрипты, которые конвертируют мощности CPU посетителей ресурса в криптовалюту. Фактически, это просто майнинг через браузеры.

Проблема заключается в том, что владельцы сайтов далеко не всегда встраивают майнинговые скрипты в код своих ресурсов добровольно, чаще сайты подвергаются взлому с этой целью. К тому же, даже если майнер не был установлен насильно, третьей стороной, сами владельцы сайтов тоже крайне редко предупреждают о происходящем посетителей и не предоставляют им возможности отключения майнеров.

Как мы уже рассказывали ранее, все это вызывает крайне негативную реакцию у ИБ-специалистов. К примеру, компания Cloudflare уже начала блокировать такие ресурсы и пояснила, что расценивает действия владельцев таких сайтов как вредоносные.

Пользователям, в свою очередь, рекомендуется не пренебрегать антивирусными продуктами и блокировщиками рекламы, которые блокируют работу скриптов. Также уже появились специальные «противомайнинговые» расширения для браузеров: AntiMiner, No Coin, и minerBlock. Плюс пользователь всегда может просто отключить Javascript самостоятельно или установив соответственные расширения для браузера (к примеру, NoScript и ScriptBlock).

Однако осуждение со стороны ИБ-сообщества, похоже, мало тревожит операторов майнинговых сервисов и их клиентов. Наиболее популярным в настоящее время является сервис Coinhive, у которого уже появилось немало подражателей, число которых продолжает расти. Недавно специалисты даже запустили специальный сайт WhoRunsCoinhive, на котором можно проверить, какие ресурсы используют скрипты Coinhive. Но проблемными теперь могут оказаться не только сайты.

Сегодня 30 октября 2017 года, специалисты Trend Micro и вовсе сообщили, что им удалось обнаружить майнинговые скрипты в составе трех приложений для Android. Причем приложения Recitiamo Santo Rosario Free и SafetyNet Wireless App были свободно доступны в официальном каталоге Google Play. Очевидно, все проверки безопасности Google не сумели обнаружить, что программы запускают майнера в фоновом режиме, с помощью WebView.

Также специалисты обнаружили в Google Play третье приложение, Car Wallpaper HD: mercedes, ferrari, bmw and audi, которое не задействовало WebView, но использовало библиотеку CpuMiner, то есть майнило даже без открытия браузера.

Исследователи Trend Micro с тревогой отмечают, что приложениям не нужно запрашивать никаких дополнительных разрешений для такой активности, а сама работа майнера может провоцировать перегрев устройства, значительно сокращать «срок жизни» батареи и, разумеется, сказываться на производительности девайса.

Еще одно неприятное известие поступило от аналитиков компаний Sucuri и Wordfence, которые зафиксировали вредоносную кампанию, направленную против сайтов на базе WordPress (а также Magento, Joomla и Drupal). По данным Sucuri , неизвестные злоумышленники из одной группировки скомпрометировали уже более 500 ресурсов. Попав на такой сайт, пользователи Firefox видят классическое поддельное сообщение, гласящее, что им срочно необходимо установить новый набор шрифтов. А пользователям Chrome, в свою очередь, приходится иметь дело с обфусцированной и сильно видоизмененной версией Coinhive.

Источник