A mineração maliciosa de criptomoedas é uma ameaça que cresceu rapidamente em 2018, superando o ransomware como a escolha favorita dos cibercriminosos. O aumento do valor e a disponibilidade constante de moedas digitais, como o Bitcoin e o Monero, oferecem aos atacantes baixo riscos com altos retornos e impulsionam esse aumento. Cibercriminosos que implantam técnicas de mineração de criptomoedas costumam ter como alvo servidores ou laptops, mas em muitos casos, eles optam por dispositivos móveis. Isso representa uma ameaça tanto para os assinantes quanto para as operadoras de redes móveis.
A equipe de inteligência de ameaças da Unit 42 da Palo Alto Networks acompanhou o aumento da mineração maliciosa de criptomoedas e descreveu o assunto no post What's Driving the Shift to Cryptocurrency Mining Malware. Em outro post, Rise of the CryptoCurrency Miners, os pesquisadores da Unit 42 descreveram a campanha do Monero, que infectou cerca de 15 milhões de sistemas. Se esses sistemas permanecessem infectados por pelo menos 24 horas cada, os invasores poderiam ganhar mais de US $ 3 milhões.
O malware de mineração de moedas funciona assumindo o poder de processamento da CPU do dispositivo infectado para minerar moedas. De muitas maneiras, os telefones celulares são alvos não atraentes – seu poder de processamento é muito limitado em comparação com um laptop ou servidor. No entanto, o grande número de dispositivos móveis ativos em todo o mundo – agora estimados em 7,8 bilhões – supera em muito o estimado 1 bilhão de laptops Windows laptops Windows em quase oito vezes. A falta de segurança na maioria dos aparelhos celulares, a ansiedade com que os assinantes baixam aplicativos e a facilidade aparente com que os agentes mal-intencionados podem incorporar códigos maliciosos em sites e lojas de aplicativos, tornam a mineração por criptografia em dispositivos móveis cada vez mais fácil para agentes mal-intencionados.
Impacto devastador
Esse malware pode ser devastador para dispositivos móveis, onde os recursos da bateria são limitados. O malware sobrecarrega tanto a CPU que um dano irreparável pode ser feito em telefones celulares em apenas dois dias. Ao contrário do ransomware, a mineração de moedas geralmente não é detectada pelo assinante móvel. Os cibercriminosos projetaram engenhosamente o site malicioso e o malware para parecerem legítimos, ocultando assim suas atividades maliciosas. A vida útil da bateria esgotada ou o mau funcionamento do telefone superaquecido será um mistério para o assinante, que provavelmente não o atribuirá a uma ação mal-intencionada. O aplicativo malicioso também gera tráfego de dados, o que pode gerar custos adicionais para usuários em tarifas móveis que não possuem volumes de dados ilimitados. No entanto, mesmo esse pequeno custo adicional provavelmente não será associado pelo assinante sobre qualquer infecção de dispositivo.
Para as operadoras de rede móvel, é particularmente difícil correlacionar a rotatividade de assinantes, as reclamações sobre o desempenho da bateria ou o mau funcionamento do dispositivo à infecção por mineração criptografada.
Assinantes insatisfeitos podem resultar em reclamações para atendimento ao cliente, substituição de telefones e desligamento de assinantes, com custos e consequências reais para a operadora de telefonia móvel. O operador de rede móvel, bem como o assinante, ambos são vítimas.
Este é um problema crescente. De acordo com a Dark Reading, o Coinhive é um criptominerador implantado em milhares de sites em todo o mundo. Em outro exemplo, um pesquisador descobriu uma nova campanha de malvertising destinada a usuários do Android que forçava efetivamente os celulares a criptografar a máquina, enquanto o telefone estivesse ativo em seus sites. Foi estimado que 60 milhões de visitantes frequentaram os domínios maliciosos e gastaram uma média de quatro minutos na página, o equivalente a alguns milhares de dólares no Monero – e uma grande quantidade de CPUs Android sobrecarregadas.
A pesquisa de ameaças da Unit 42 identificou 470.000 amostras de malware exclusivas que sequestraram computadores e dispositivos móveis para minerar criptomoeda, com um enorme aumento em 2018. A popularidade da atividade de criptografia maliciosa continua a disparar como resultado direto de um aumento anterior no valor de criptomoedas como Monero – só o tempo dirá se os criptomineradores continuarão populares. É claro que tais atividades têm sido lucrativas para indivíduos ou grupos que exploraram a criptomoeda usando técnicas maliciosas por um longo período. Como os pesquisadores da Palo Alto Networks destacaram pela primeira vez, um total de US $ 175 milhões foi encontrado para ser extraído historicamente através da moeda Monero, representando cerca de 5% de todo o Monero atualmente em circulação.
Combatendo a ameaça
A mineração de criptomoedas maliciosas em dispositivos móveis foi observada em testes de provedores de serviços ao vivo conduzidos pela Palo Alto Networks. A Security Operating Platform da Palo Alto Networks fornece visibilidade e funções de aplicação especialmente projetadas para permitir que as operadoras de redes móveis identifiquem rapidamente a atividade maliciosa do C2, bem como quais assinantes e dispositivos são afetados. Com essa visibilidade profunda, os MNOs podem tomar ações corretivas, que podem incluir notificação ao assinante infectado, opções de correção para atendimento ao cliente e aumento de vendas de um serviço de proteção.
As operadoras de redes móveis que usam a Security Operating Platform têm vários meios para combater essa ameaça em suas redes, incluindo detecções do WildFire para criptomineradores entregues via malware e segurança GTP, que correlacionam a ameaça ao assinante ou dispositivo afetado.
Terry Young, service provider product marketing da Palo Alto Networks.
