Los investigadores de Cyble Research and Intelligence Labs han alertado sobre la aparición de un nuevo y peligroso virus para Android llamado MiningDropper, que está evolucionando rápidamente más allá de la simple minería de criptomonedas. Inicialmente presentado como una herramienta para la minería encubierta, ahora se ha convertido en una plataforma completa para distribuir diversas amenazas. Su arquitectura le permite eludir los sistemas de análisis y detección, lo que lo hace especialmente peligroso.
La principal característica de MiningDropper es su complejo esquema de múltiples etapas para cargar código malicioso. Emplea métodos avanzados de ofuscación, como el cifrado XOR, el cifrado AES, la carga dinámica de componentes y la protección anti-emulación. Esto permite que el malware oculte sus verdaderas funciones durante las primeras fases de la infección.
Los elementos clave del programa malicioso no se almacenan explícitamente en el dispositivo; se despliegan directamente en la memoria. Este enfoque dificulta significativamente el análisis y la detección de amenazas.
La distribución también ocurre sin que el usuario se dé cuenta. En un caso, los atacantes utilizaron una versión modificada de la aplicación de código abierto Lumolight. Aunque parece una utilidad normal, oculta un mecanismo para cargar malware. El usuario concede los permisos necesarios a la aplicación, abriendo así el acceso al sistema.
Tras la instalación, MiningDropper analiza el dispositivo y decide qué carga útil activar. Esto podría ser minería oculta o escenarios más graves, como el robo de datos u otros tipos de ataques.
Los expertos subrayan que MiningDropper ya no puede considerarse un minero ordinario. Se trata de una herramienta modular y flexible que permite a los atacantes cambiar rápidamente los objetivos de ataque sin necesidad de reescribir por completo la infraestructura maliciosa.