Forscher von Cyble Research and Intelligence Labs haben über das Auftauchen eines neuen gefährlichen Android-Virus namens MiningDropper berichtet, der sich rasant über einfaches Kryptowährungs-Mining hinaus weiterentwickelt. Ursprünglich als Werkzeug für verdecktes Crypto-Mining positioniert, ist es nun zu einer vollwertigen Plattform für die Verbreitung verschiedener Bedrohungen geworden. Seine Architektur ermöglicht es, Analyse- und Erkennungssysteme zu umgehen, was ihn besonders gefährlich macht.
Das Hauptmerkmal von MiningDropper ist sein komplexes, mehrstufiges Schema zum Laden von Schadcode. Es nutzt fortschrittliche Verschleierungsmethoden, darunter XOR-Obfuskation, AES-Verschlüsselung, dynamisches Laden von Komponenten und Anti-Emulationsschutz. Dadurch kann die Malware ihre wahren Funktionen in den frühen Infektionsphasen verbergen.
Schlüsselelemente des Schadprogramms werden nicht explizit auf dem Gerät gespeichert – sie werden direkt im Speicher bereitgestellt. Dieser Ansatz erschwert Analyse und Bedrohungserkennung erheblich.
Die Verbreitung erfolgt ebenfalls ohne Wissen des Nutzers. In einem Fall nutzten Angreifer eine modifizierte Version der Open-Source-Anwendung Lumolight. Während sie wie eine normale Utility-App erscheint, verbirgt sie einen Mechanismus zum Laden von Malware. Der Nutzer erteilt der App die nötigen Berechtigungen und öffnet damit effektiv den Zugang zum System.
Nach der Installation analysiert MiningDropper das Gerät und entscheidet, welche Nutzlast aktiviert werden soll. Das könnte verstecktes Mining oder ernstere Szenarien sein, einschließlich Datendiebstahl oder anderer Angriffsarten.
Experten betonen, dass MiningDropper nicht mehr als gewöhnlicher Miner betrachtet werden kann. Es handelt sich um ein flexibles, modulares Werkzeug, das Angreifern erlaubt, Angriffsziele schnell zu ändern, ohne die gesamte Schadinfrastruktur neu schreiben zu müssen.