Hace muy poco tiempo atrás, algunos investigadores reportaron que
malware de la familia Android detectado como ANDROIDOS_KAGECOIN.HBT minaba las capacidades de cifrado de las monedas. Según el análisis  de TrendLabs este malware está involucrado en  varias monedas digitales, incluyendo Bitcoin, Litecoin y Dogecoin. Lo cual sin duda, tiene consecuencias reales para los usuarios desde corta duración de la batería y  mayor desgaste, lo cual podría significar una vida más corta del dispositivo. Después de varios análisis los investigadores encontraron originalmente ANDROIDOS_KAGECOIN como copias pirateadas de aplicaciones populares como Football Manager Handheld y TuneIn Radio. Las aplicaciones fueron programadas con el código de una aplicación legítima de la CPU de cifrado de monedas Android. Este código se basa en el software conocido como
cpuminer. Para ocultar el código malicioso,
los cibercriminales han modificado parte de la app de Google Mobile Ads.
Toda la  operación se inicia como un servicio de fondo una vez que se detecta que el dispositivo afectado está conectado a Internet, de ahí el CPU se conecta a un dominio dinámico, que luego se dirige a un grupo anónimo Dogecoin. El  éxito de este ataque se presentó el 17 de febrero esta red de móviles hizo ganar miles de Dogecoins al cibercrimen. Después de esta fecha, el cibercrimen cambió. El malware está configurado para descargar un archivo que contiene información necesaria para actualizar la configuración del malware. Este archivo de configuración se actualizó y ahora se conecta a la pool conocida como WafflePool. Los Bitcoins se han pagado, se ha trasladado a cartera del cibercrimen varias veces.  
Cabe mencionar que las aplicaciones de extracción de monedas mencionadas eran de fuera de Google Play Store, pero se ha encontrado el mismo comportamiento en aplicaciones dentro. Éstas han sido descargadas por millones de usuarios, lo que significa que puede haber muchos dispositivos Android siendo utilizados para extraer cifrado de monedas para ciberdelincuentes. Se detectó esta nueva familia de malware como ANDROIDOS_KAGECOIN.HBTB. Tras el análisis del código de estas aplicaciones se descubrió el código de cifrado de extracción. A diferencia de otras aplicaciones maliciosas, aquí la extracción sólo ocurre cuando el dispositivo se está cargando, porque con el incremento de uso energía no se nota tanto.
La actualización de configuración, tienen la misma lógica. Si se analiza el archivo de configuración, parece que el cibercriminal está cambiando a Litecoins. El equipo de TrendLabs cree que con miles de dispositivos afectados, el cibercriminal acumula gran cantidad de Dogecoins. Tomando en cuenta el lenguaje enmarañado de los términos y condiciones de los sites web de estas aplicaciones, los usuarios pueden ignorar que sus dispositivos son potencialmente dispositivos de robo. Sin embargo por muy bien diseñado que esté el ataque, el que lo lleva a cabo puede que no haya pensado en todo. Ya que los teléfonos no tienen suficiente capacidad para servir como eficaces mineros. Los usuarios notarán rápidamente un comportamiento extraño, debido a que se cargan lentamente y se calientan mucho, haciendo particularmente discreta la presencia del minero. Es muy cierto que ganan dinero, pero a un ritmo glacial.
Así mismo los usuarios de teléfonos y tablets que repentinamente se carguen lentamente, se calienten, o se queden sin batería deberían considerar estar siendo expuestos a amenazas. Siempre se debe tomar en cuenta que no necesariamente una aplicación que se haya descargado desde una tienda de aplicaciones significa que sea segura.

Para más información visita trendmicro.com Marketing