Как найти скрытый майнер на телефоне

Если тормозит компьютер, то многие сразу обвиняют в этом вирусы. А вот если неспешно работает, греется или слишком быстро разряжается смартфон, то это обычно списывают на то, что он уже старенький — пора менять. На самом деле проблема может быть вовсе даже не в этом, а в том, что на смартфоне втихомолку прописался майнер криптовалюты.

Для майнинга важна вычислительная мощность. По производительности мобильники, конечно, не идут ни в какое сравнение с настольными компьютерами с продвинутой видеокартой, но находчивые злоумышленники компенсируют это количеством: если речь идет о сотнях тысяч устройств, работающих на любителя обогатиться за чужой счет, овчинка уже начинает стоить выделки.

Собственно, проблема в том, что заразить свой смартфон или планшет скрытым майнером очень просто. Совсем не обязательно ставить майнер сознательно и самостоятельно или скачивать приложения из сомнительных источников, в которых может водиться всякая зараза. Оказывается, подцепить скрытый майнер можно, запустив абсолютно безобидное на вид приложение из официального магазина Google Play.

Майнеры в магазине Google Play

Некоторые майнеры только прикидываются полезными программами или играми, а после установки только показывают рекламу и собственно майнят, не выполняя обещанных функций. Но в Google Play и другие официальные магазины такие подделки стараются не пускать, а если нечаянно и пускают, то быстро находят и удаляют их. Поэтому такие зловредные приложения распространяются в основном через форумы и неофициальные магазины. Однако там их скачивает совсем не так много людей, как мошенникам хотелось бы.

Они нашли выход: если приложение выполняет все полезные функции, заявленные в описании, а зловред аккуратно замаскирован, то есть шанс, что система защиты Google Play его не заметит. Так уже бывало раньше — из сотовых телефонов тогда пытались сделать ботнет. Недавно эксперты «Лаборатории Касперского» нашли еще несколько подобных примеров, на сей раз со встроенным майнером.

Представьте, что вы решили посмотреть трансляцию матча любимой команды. Вы скачиваете футбольное приложение, наслаждаетесь игрой, а в это время встроенный в него скрытый майнер добывает цифровую валюту для своих хозяев. Заметить это довольно сложно: во-первых, вам попросту не до того во время матча, во-вторых, видео тоже нагревает телефон и разряжает батарею, как и майнер.

Именно с футболом оказались связаны самые популярные из найденных нами приложений такого типа. Это целое семейство похожих приложений, которые содержат в названии PlacarTV (placar — это «счет» на португальском): одно из них было загружено более 100 тысяч раз. В него был встроен майнер Coinhive, который во время просмотра добывал для мошенников криптовалюту Monero.

Также наши специалисты нашли майнер в бесплатном приложении для создания VPN-соединения, которое называется Vilny.net. Главная «фишка» этого зловреда в том, что он умеет отслеживать температуру и уровень заряда телефона. А значит, может вовремя приостановить майнинг, не дав устройству перегреться или разрядиться, а его хозяину — заподозрить неладное. Подробнее о находках вы можете прочитать на портале Securelist.

Мы сообщили об этих находках в Google, и «семейку» PlacarTV со скрытыми майнерами уже удалили из Google Play. А вот Vilny.net все еще остается в официальном магазине. Кроме того, нет гарантий, что уже удаленные зловреды не проникнут туда еще раз (такое уже бывало). Так что надеяться на бдительность сотрудников Google Play не стоит, надо заботиться о своей защите самостоятельно.

Как защититься от скрытых майнеров на Android

• Обращайте внимание на необычное поведение своего смартфона. Если он сильно нагревается и быстро разряжается без всякой на то причины — это может быть симптом заражения. Отследить, что именно сажает батарею, можно с помощью специальных приложений, например нашего Kaspersky Battery Life.
• Скачивая новые приложения, обращайте внимание на разработчика. В софте от проверенных разработчиков с хорошей репутацией вероятность встретиться с какой-либо заразой гораздо меньше.
• Установите на свое устройство Kaspersky Internet Security для Android — антивирус поможет вам обнаружить даже те майнеры, которые не перегревают ваш смартфон и стараются разряжать его постепенно, почти никак себя не проявляя. Телефон даже с таким «аккуратным» майнером все равно изнашивается, а с неаккуратным может и поломаться.

Майнеры атакуют! В последнее время они стали самым активным типом вирусов. Даже красть данные с серверов крупных корпораций сегодня не так выгодно, как скрыто майнить на этих мощностях.

Впрочем, компьютерам и смартфонам рядовых пользователей тоже достаётся. Рассказываем, как не стать жертвой скрытого майнера.

Майнер в браузере

Бывает, заходишь на сайт, а он «вешает» весь компьютер. Что происходит? Есть вероятность, что на сайте запущен особый скрипт, который жрёт ресурсы вашего компьютера ради пары монет для «дяди».

Майнят чаще всего Monero (XMR), реже – Zcash и другие анонимные криптовалюты.

Майнеры могут внедрить хакеры или же сами владельцы сайта. Таким не побрезговала даже The Pirate Bay. Правда, вскоре майнер «бухта» всё же убрала.

Вирусы для майнинга на компьютерах

Цель вредоносов такого рода – сделать ваш компьютер частью ботнета, который объединяет мощности сравнительно слабых устройств для майнинга и решения других задач. Это вдвойне выгодно: во-первых, злоумышленникам не нужно покупать дорогие майнеры или видеокарты, во-вторых – платить за электричество тоже не придётся.

Часто злоумышленники используют легальные майнеры. Но устанавливают их без ведома владельца устройства, скрывают работу майнера и указывают свой кошелёк для добытых монет.

Обычно майнер попадает на компьютер с помощью дроппера. Этот вредонос нередко кладут в состав пиратских версий популярных программ или генераторов ключей активации. После запуска файла на компьютер жертвы ставится установщик, который непосредственно скачивает майнер и утилиту для его маскировки в системе.

Часто в комплект кладут инструменты для автозапуска вредоноса и настройки его работы. Эти сервисы могут приостанавливать работу майнера, когда пользователь запускает игру или другое ресурсоёмкое приложение. Так майнер не выдаст себя и проведёт на компьютере жертвы максимум времени.

Современные майнеры способны самовосстанавливаться, останавливать работу антивируса, мониторить активность системы и майнить только в периоды низкой нагрузки.

Устранение конкурентов

Майнеры обычно запускают в оперативной памяти процессы с именами вроде как Silence, Carbon, xmrig32, nscpucnminer64, mrservicehost, service, svchosts3, svhosts, system64 и др. Но найти незащищенный компьютер, который ещё не заражен, всё сложнее. Так что майнерам приходится эволюционировать.

Одна из недавних находок – майнер с функцией kill list. Когда он попадает в компьютер, то анализирует список процессов. Если майнер находит процессы, которые запущены другими майнерами, то принудительно останавливает их. И сам захватывает все доступные ресурсы.

Майнеры в официальных магазинах приложений

И такое бывает! Например, с сентября 2017 года в Google Play можно было скачать Monero Miner (XMR) разработчика My Portable Software.

Формально приложение было предназначено для майнинга и ничего не нарушало. Но вот незадача: какой бы адрес кошелька вы ни вводили, намайненное на вашем смартфоне всё равно отправлялось бы на кошелек разработчиков вредоноса.

Владельцам техники Apple «повезло» не меньше. В Mac App Store появилось приложение Calendar 2, которое скрыто майнило Monero. Правда, приложение достаточно быстро удалили. Но осадочек остался.

Сколько зарабатывают на майнерах

Ботнет с майнером Minergate, обнаруженный экспертами, приносил владельцам 30 тыс. долларов в месяц. Через кошелёк, в который отправлялись добытые монеты, прошло свыше 200 тыс. долларов.

Компания Qbix, разработчик Calendar 2, за три дня заработала 2 тыс. долларов на скрытом майнинге Monero.

А разработчик из Камбоджи Макс Корнет рассказал, что получил всего 0,89 доллара за 60 часов от установки скрытого майнера на сайте с посещаемостью около 1 тыс. пользователей в сутки. То есть он зарабатывал 36 центов в день или около 10 долларов в месяц. Конечно, больше посещаемость – выше заработки. Но платные статьи или другую рекламу владельцам сайтов и в этом случае размещать выгоднее.

Как бороться с майнерами

В браузере

1. Перейти на сайт https://cryptojackingtest.com/, который проверит, защищен ли ваш браузер. Проверка бесплатная, но результаты не всегда верны.

• Зеленая надпись YOU’RE PROTECTED — ваш браузер защищен.
• Красная надпись YOU’RE NOT PROTECTED — ваш браузер уязвим.

1. Скачать браузеры со вшитой защитой от майнинга. Opera и «Яндекс.Браузер» поддерживают такие возможности.
2. Отключить JavaScript в браузере. Решение радикальное, ведь многим сайтам для нормальной работы требуется JavaScript.
   • Chrome: «Настройки» – «Дополнительные» – «Настройки контента» – «JavaScript» – Передвинуть переключатель в положение «Заблокировано».
   • Firefox: «Настройки» – «Содержимое» – снять флажок «Использовать JavaScript».
   • Opera: «Настройки» – «Общие настройки» – «Дополнительно» («Расширенные») – «Содержимое» – снять флажок «Включить JavaScript».
3. Приложение Anti-Web Miner. Скачиваете с GitHub, устанавливаете, пользуетесь.
4. Расширения для браузеров. NoCoin, AntiMiner, MineControl, MineBlock и т. д.
5. Расширение для браузеров AdBlock. В фильтры нужно добавить:

• ||coin-hive.com^$third-party
• ||jsecoin.com^$third-party
• ||miner.pr0gramm.com^
• ||gus.host/coins.js$script
• ||cnhv.co^.

1. Приложение Malwarebytes. Премиум-версия защищает от новых майнеров в режиме реального времени. Бесплатная находит всё, что вы подхватили ранее, и переносит в карантин.
2. В Windows – отредактировать файл C:WindowsSystem32driversetc В macOS введите в терминале команду sudo nano /etc/hosts/.

В конец файла hosts нужно дописать строку 0.0.0.0 coin-hive.com – она не даст устройству соединятся с сервером, на котором лежит самый известный майнинг-скрипт. Можно переадресовывать на 0.0.0.0 и другие домены, уличённые в распространении вредоносов:

• 0.0.0 azvjudwr.info
• 0.0.0 cnhv.co
• 0.0.0 gus.host
• 0.0.0 jroqvbvw.info
• 0.0.0 jsecoin.com
• 0.0.0 jyhfuqoh.info
• 0.0.0 kdowqlpt.info
• 0.0.0 listat.biz
• 0.0.0 lmodr.biz
• 0.0.0 mataharirama.xyz
• 0.0.0 minecrunch.co
• 0.0.0 minemytraffic.com
• 0.0.0 miner.pr0gramm.com
• 0.0.0 reasedoper.pw
• 0.0.0 xbasfbno.info

На ПК (вне браузера)

1. Уже упомянутое приложение Malwarebytes.
2. Антивирус со свежей базой. Для пользователей Windows: стандартный Windows Defender чаще всего не блокирует популярный Coinhive, так что стоит установить что-то понадёжнее.
3. Нелишним будет запустить диспетчер задач в Windows или другое приложение для слежения за расходом ресурсов компьютера (AIDA64, AnVir Task Manager или аналоги). Для macOS зайдите в «Программы» – «Утилиты» – «Мониторинг системы». Если активность резко растёт и стабильно держится, даже если у вас открыты «Заметки» и «Калькулятор», диспетчере задач или его аналоге удаляйте процессы, которые отнимают слишком много ресурсов. Затем вычищаете всё антивирусом и Malwarebytes.
4. TDSSKiller поможет убить руткиты, которые маскируют следы пребывания майнера в системе.
5. Утилита AVZ. Скачиваете, обновляете базы, нажимаете «Исследовать систему». Получаете avz_sysinfo.htm. Его можно разместить на форуме «Лаборатории Касперского» и попросить помощи. В случае удачи вам помогут составить скрипт, который обезвредит майнер. Но до этого рекомендуется выполнить всё, о чём мы писали выше.

На смартфоне

1. Прежде всего, не скачивать приложения, которые обещают бешенные тыщщи денег от майнинга на смартфоне. И другие подозрительные приложения. Тем более с левых сайтов. Замена батареи / услуги специалиста стоят больше, чем вы сможете намайнить.
2. Для борьбы с майнингом в браузере используйте браузерные расширения или браузеры с защитой от майнинга.
3. Установите надёжный антивирус и регулярно обновляйте базы.
4. Следите за загрузкой ресурсов смартфона.
   • iOS: «Настройки» – «Аккумулятор».
   • Android: «Настройки» – «Аккумулятор» / «Батарея».

Если видите процессы и приложения, которые потребляют больше, чем им положено, смело удаляйте их.

Выводы

Мир помешался на майнинге. А хакеры не замедлили извлечь из этого пользу. Если вы не хотите, чтобы кто-то получал деньги за ваш счёт, не зевайте и защитите свои гаджеты уже сегодня.

(1 голосов, общий рейтинг: 5.00 из 5)

В 2017-2018 году мы нередко слышим слово майниг. Это связано с ростом интереса к крипотовалютам — виртуальным монетам, которые не имеют физического воплощения и добываются с помощью вычислительных мощностей компьютеров. 

Несмотря на то, что цифровая валюта существует только в виртуальном пространстве, ее можно обменять по реальному курсу. Когда этот курс превысил разумные пределы за один виртуальный биткоин стали предлагать реальные тысячи долларов, многие люди стали закупаться видеокартами и устраивать целые майнинг-фермы. Однако некоторые пользователи хотят только получать деньги и не оплачивать бешеные счета за электричество. Тогда в дело идут вирусы-майнеры.

Как работает вирус-майнер

Эпидемия вирусов для скрытого майнинга породила новое понятие — криптоджекинг, то есть вирус поселяется на компьютере или смартфоне и использует вычислительные мощности аппарата для майнинга криптовалюты без ведома владельца устройства.

Чаще всего атаки этих вирусов поражают компьютеры, однако зловреды эволюционируют и приспосабливаются к мобильным устройствам. В конце марта-начале апреля 2018 года мир облетела информация о тысячах зараженных устройств на OC Android. Вирус HiddenMiner успешно маскировался под приложение для обновления Play Market. Когда его скачивали, вирус получал права администратора и начинал добывать криптовалюту Monero.  Создатели зловреда не установили в нем никакого ограничения по времени работы, поэтому скрытый майнер мог полностью исчерпать ресурсы зараженного устройства и смартфон перегорал. Если пользователь пытался удалить вирус, HiddenMiner блокировал аппарат. Чтобы удалить этот вирус с телефона, нужно было перегрузить устройство в безопасном режиме, затем удалить учетную запись администратора и само вредоносное приложение.

Как можно подхватить вирус

Скрытые майнеры распространяются также, как и обычные трояны-вымогатели, однако есть одно существенное НО… Обо всём по порядку.

Вирус для добычи криптовалюты могут прислать в сообщении: броский заголовок или заманчивое уточнение, например, “Случайно тебя сфоткал — отлично вышло!” и ссылка внизу, которая подселит в систему Вашего гаджета нежелательного гостя. Вирус может быть зашифрован в приложении, которые Вы скачали из стороннего, неофициального источника. 

Но хуже всего — вирусы-майнеры встречаются даже в популярных приложениях из магазина Play Market. И да, устройства с операционной системой Adnroid сильнее уязвимы перед такими зловредами, чем аппараты на iOS, потому что Android — операционная система с открытым кодом, которую любой знающий человек может использовать по своему желанию.

Как понять, что на смартфоне работает скрытый майнер

Вирусы, заставляющие гаджет добывать виртуальные деньги, очень хорошо маскируются. Телефон начинает сильнее греться во время работы, быстрее разряжаться, но пользователи списывают эти проблемы на плохой аккумулятор. Ситуация осложняется тем, что программы-антивирусы не всегда распознают майнера: вирус не захватывает личные данные, не сливает информацию на подозрительные сервера, просто Ваш смартфон тихо и постоянно работает “на дядю”, зарабатывая для злоумышленников криптомонеты.

Стоит насторожиться, если гаджет:

• начал перегреваться;
• быстро разряжается (а куплен, к примеру, совсем недавно или батарея новая);
• нагружает домашнюю сеть Wi-Fi;
• медленно работает, тормозит при обычной нагрузке.

Подтвердить или опровергнуть Ваши подозрения могут специальные приложения, анализирующие на что расходуются ресурсы смартфона. Например, приложение Battery от MacroPinch или Kaspersky Battery Life.

Что делать с обнаруженным вирусом

Если установленный антивирус не смог побороть майнер, избавиться от зловреда поможет переход в безопасный режим и удаление всего лишнего.

Чтобы войти в безопасный режим Android сделайте следующее.

1. Нажмите и удерживайте кнопку питания до появления меню.
2. Выберите в меню пункт «Отключить питание» и удерживайте его до появления фразы “Переход в безопасный режим”.
3. Нажмите «ОК» и дождитесь перезагрузки аппарата.
4. Когда появится рабочий стол, в его левом нижнем углу должна быть надпись «Безопасный режим».
5. Удалите вредоносную программу и перезагрузите устройство. 

Если после перезагрузки смартфон продолжает работать в безопасном режиме, выньте батарею, подождите несколько минут, установите АКБ и включите гаджет.

Как обезопасить смартфон от скрытых майнеров

• Не переходите по подозрительным ссылкам в сообщениях или письмах от неизвестных отправителей.
• Установите надежный антивирус, который может идентифицировать хотя бы популярные майнеры.
• Не скачивайте приложения и программы из неофициальных источников.
• Проверяйте отзывы о приложении в Play Market перед установкой.