Специалисты «Лаборатории Касперского» проанализировали мобильные утилиты, созданные для майнинга криптовалют. Оказалось, что злоумышленники все чаще используют легитимные программы, обладающие заявленным функционалом, встраивая в них скрытые майнеры. В частности, такие модули были обнаружены сразу в нескольких программах для просмотра футбольных трансляций и работы с VPN-соединениями. В итоге, преступники получают значительную прибыль, эксплуатируя сотни тысяч устройств без согласия владельцев.

Проведенное исследование показало, что легитимные программы со скрытыми майнерами чаще всего имеют отношение к футболу. Основная функция приложений данного типа – демонстрация роликов на футбольную тему. Во время показа видео и осуществляется майнинг. При запуске программы автоматически активируется небольшой HTML-файл, в который интегрирован скрипт Coinhive (он и отвечает за получение криптовалюты). В большинстве случаев осуществляется генерация валюты Monero. Часть обнаруженных программ распространялась официально через Google Play, причем самая популярная была загружена свыше 100 тысяч раз (статистика самого каталога). Большая часть загрузок – пользователи из Бразилии (90%). На момент публикации отчета все вредоносные файлы были удалены из магазина.

Другое направление, выбранное майнерами – приложения для создания VPN-соединений. Такие программы последнее время также пользуются популярностью, поскольку позволяют быстро получить доступ к ресурсам, заблокированным провайдерами. К примеру, вредоносный скрипт был выявлен в программе Vilny.net. Приложение в процессе работы контролирует температуру устройства и уровень заряда, что позволяет свести к минимуму риск обнаружения дополнительной активности. Исполняемый файл майнера загружается с внешнего сервера, после чего запускается в фоновом режиме.

В компании отметили, что антивирусные решения успешно детектируют данный тип угроз, помечая его как потенциально опасное (riskware).