A Cyble Research and Intelligence Labs kutatói riasztanak egy új, veszélyes Android vírusról, a MiningDropperről, amely gyorsan fejlődik a hagyományos kriptovaluta-bányászaton túl. Kezdetben rejtett bányászat eszközének indították, mára azonban teljes értékű platformmá nőtt, amely különféle fenyegetéseket képes kézbesíteni. Kialakítása lehetővé teszi az elemző és észlelő rendszerek megkerülését, így különösen veszélyes.
A MiningDropper fő jellemzője a kártékony kód betöltésének bonyolult, többlépcsős sémája. Fejlett álcázási módszereket alkalmaz, mint például XOR álcázás, AES titkosítás, dinamikus komponensbetöltés és anti-emulációs védelem. Ez lehetővé teszi a kártevő számára, hogy az infekció korai szakaszaiban elrejtse valódi funkcióit.
A kártékony program kulcselemei nem tárolódnak explicit módon az eszközön – közvetlenül a memóriában kerülnek telepítésre. Ez a megközelítés jelentősen megnehezíti az elemzést és a fenyegetésészlelést.
A terjesztés is a felhasználó észrevétele nélkül zajlik. Egy esetben a támadók a Lumolight nyílt forráskódú alkalmazás módosított verzióját használták fel. Bár normál segédprogramnak tűnik, valójában kártevőbetöltő mechanizmust rejt. A felhasználó a szükséges engedélyeket megadva gyakorlatilag hozzáférést nyit a rendszerhez.
A telepítést követően a MiningDropper elemzi az eszközt, és eldönti, melyik hasznos terhet aktiválja. Ez lehet rejtett bányászat vagy súlyosabb forgatókönyvek, beleértve az adatlopást vagy más típusú támadásokat.
A szakértők hangsúlyozzák, hogy a MiningDroppert már nem tekinthető hagyományos bányászprogramnak. Rugalmas, moduláris eszközről van szó, amely lehetővé teszi a támadók számára, hogy gyorsan változtassák meg a célpontokat anélkül, hogy teljesen át kellene írniuk a kártékony infrastruktúrát.