Specjaliści z Cyble Research and Intelligence Labs poinformowali o pojawieniu się nowego, niebezpiecznego wirusa na Androida o nazwie MiningDropper, który szybko ewoluuje poza zwykłe kopanie kryptowalut. Początkowo pozycjonowany jako narzędzie do ukrytego wydobywania kryptowalut, stał się teraz pełnoprawną platformą do dostarczania różnych zagrożeń. Jego architektura pozwala omijać systemy analizy i wykrywania, co czyni go szczególnie groźnym.
Główną cechą MiningDroppera jest złożony, wieloetapowy schemat ładowania złośliwego kodu. Wykorzystuje zaawansowane metody zaciemniania, w tym obfuskację XOR, szyfrowanie AES, dynamiczne ładowanie komponentów oraz ochronę anty-emulacyjną. To pozwala złośliwemu oprogramowaniu ukrywać swoje prawdziwe funkcje we wczesnych etapach infekcji.
Kluczowe elementy szkodliwego programu nie są przechowywane jawnie na urządzeniu – są wdrażane bezpośrednio w pamięci. Takie podejście znacząco utrudnia analizę i wykrywanie zagrożeń.
Rozpowszechnianie również odbywa się bez wiedzy użytkownika. W jednym przypadku atakujący wykorzystali zmodyfikowaną wersję aplikacji open-source Lumolight. Choć wygląda jak normalne narzędzie, ukrywa mechanizm ładowania złośliwego oprogramowania. Użytkownik udziela aplikacji niezbędnych uprawnień, skutecznie otwierając dostęp do systemu.
Po instalacji MiningDropper analizuje urządzenie i decyduje, który ładunek aktywować. Może to być ukryte kopanie lub poważniejsze scenariusze, w tym kradzież danych czy inne rodzaje ataków.
Eksperci podkreślają, że MiningDroppera nie można już uważać za zwykłego minera. To elastyczne, modułowe narzędzie, które pozwala atakującym szybko zmieniać cele ataków bez potrzeby całkowitego przepisywania złośliwej infrastruktury.