I ricercatori di Cyble Research and Intelligence Labs hanno segnalato la comparsa di un nuovo pericoloso virus Android denominato MiningDropper, che si sta evolvendo rapidamente oltre il semplice mining di criptovalute. Inizialmente presentato come strumento per il mining crittografico nascosto, è ora diventato una piattaforma completa per il rilascio di varie minacce. La sua architettura gli consente di eludere i sistemi di analisi e rilevamento, rendendolo particolarmente pericoloso.
La caratteristica principale di MiningDropper è il suo complesso schema multi-fase per il caricamento di codice dannoso. Utilizza metodi avanzati di offuscamento, tra cui offuscamento XOR, crittografia AES, caricamento dinamico di componenti e protezione anti-emulazione. Questo permette al malware di nascondere le sue vere funzioni durante le prime fasi dell'infezione.
Gli elementi chiave del programma dannoso non sono archiviati esplicitamente sul dispositivo, ma vengono distribuiti direttamente in memoria. Questo approccio complica notevolmente l'analisi e il rilevamento delle minacce.
La distribuzione avviene anche senza che l'utente se ne accorga. In un caso, gli aggressori hanno utilizzato una versione modificata dell'applicazione open-source Lumolight. Sebbene sembri una normale utility, nasconde un meccanismo per caricare malware. L'utente concede all'app le autorizzazioni necessarie, aprendo di fatto l'accesso al sistema.
Dopo l'installazione, MiningDropper analizza il dispositivo e decide quale payload attivare. Questo potrebbe essere il mining nascosto o scenari più gravi, incluso il furto di dati o altri tipi di attacchi.
Gli esperti sottolineano che MiningDropper non può più essere considerato un miner ordinario. Si tratta di uno strumento flessibile e modulare che consente agli aggressori di cambiare rapidamente gli obiettivi degli attacchi senza dover riscrivere completamente l'infrastruttura dannosa.