Výzkumníci z Cyble Research and Intelligence Labs upozornili na nový nebezpečný virus pro Android s názvem MiningDropper, který se rychle vyvíjí nad rámec pouhého těžení kryptoměn. Původně se jednalo o nástroj pro skrytou těžbu, nyní se ale proměnil v plnohodnotnou platformu pro šíření různých hrozeb. Jeho architektura umožňuje obejít systémy analýzy a detekce, což ho činí obzvláště nebezpečným.
Hlavním rysem MiningDropperu je složitý vícefázový systém pro načítání škodlivého kódu. Používá pokročilé metody maskování, včetně XOR obfuskace, šifrování AES, dynamického načítání komponent a ochrany proti emulaci. Díky tomu může malware skrýt své skutečné funkce v počátečních fázích infekce.
Klíčové prvky škodlivého programu nejsou na zařízení uloženy explicitně – jsou nasazovány přímo do paměti. Tento přístup výrazně komplikuje analýzu i detekci hrozeb.
K šíření dochází bez vědomí uživatele. V jednom případě útočníci použili upravenou verzi open-source aplikace Lumolight. Ta sice vypadá jako běžná utilita, ale skrývá mechanismus pro načítání malwaru. Uživatel udělí aplikaci potřebná oprávnění, čímž efektivně otevře přístup k systému.
Po instalaci MiningDropper analyzuje zařízení a rozhodne, jakou hrozbu aktivovat. Může jít o skrytou těžbu, ale také o závažnější scénáře včetně krádeže dat nebo jiných typů útoků.
Experti zdůrazňují, že MiningDropper už nelze považovat za obyčejný těžební program. Jedná se o flexibilní modulární nástroj, který útočníkům umožňuje rychle měnit cíle útoků, aniž by museli kompletně přepisovat škodlivou infrastrukturu.