Non sapete che cos’è un miner? Meglio scoprirlo prima di essere truffati.

Nov 14, 2017 Marco Schiaffino Malware, News, Prodotto, RSS 0

Su Internet circola un’app che sfrutta gli smartphone (e l’energia elettrica) degli utenti per generare cripto-valuta. E il bello è che lo dice pure…

Il primo caso a fare scalpore è stato quello di The Pirate Bay, il celebre sito dedicato ai file Torrent che è stato pescato a sfruttare la CUP dei visitatori per “minare” cripto-valuta utilizzando uno speciale tipo di JavaScript che reclutano i computer dei visitatori come “miner” facendogli consumare energia elettrica a tradimento.

Nel corso delle settimane seguenti, però, i JavaScript come CoinHive (il più diffuso JavaScript di questo tipo) hanno cominciato a diffondersi sul Web in maniera preoccupante.

Nonostante molti antivirus e ad-blocker siano ormai in grado di fermare i JavaScript che agiscono in questo modo, i cyber-criminali che li usano in maniera scorretta (come abbiamo spiegato in questo articolo esiste anche un utilizzo “corretto”) stanno utilizzando tecniche sempre nuove e diverse per ingannare le loro vittime, per esempio utilizzando iFrame che puntano ad altri siti e nascondono il collegamento al JavaScript.

Il caso più eclatante, però, è quello descritto in un report pubblicato da Gabriel Cirlig di Ixia, che tratta del caso di alcune app per Android. Qui la tecnica è decisamente più sofisticata e sfrutta le zone grigie legate alla liceità del comportamento delle app.

Una scansione su VirusTotal dà come risultato un rilevamento positivo solo da 10 antivirus su 62. Il motivo? Tecnicamente non è un virus…

Il protagonista della vicenda denunciata da Ixia è uno sviluppatore che ha pensato bene di creare una sorta di “ecosistema” che gli permette di incassare una bella quantità di soldi alle spalle degli ignari utenti.

Lo schema è il seguente: lo sviluppatore offre numerosi videogiochi gratuiti per smartphone, che utilizzano al loro interno un sistema di valuta virtuale per acquistare potenziamenti e nuovi oggetti nei giochi.

A prima vista non si tratta di nulla di nuovo. È un sistema adottato da numerosi sviluppatori, che di solito consentono poi di acquistare la valuta virtuale con pagamenti (in euro veri) attraverso acquisti in-app.

In questo caso, però, le cose funzionano in maniera un po’ diversa. Lo sviluppatore ha infatti messo a punto un’app specifica chiamata Reward Digger che i giocatori si trovano installata sullo smartphone e il cui compito è quello di generare la moneta virtuale che possono usare nei videogame collegati.

L’app viene fornita in bundle con giochi e rompicapi che al loro interno non hanno nulla di strano e il collegamento avviene attraverso un sistema di controllo interno.

In teoria, quindi, i giocatori possono ottenere la moneta virtuale senza spendere un euro. Ma è davvero così? La risposta è no. L’app in questione, infatti, è in realtà un miner che usa la potenza di calcolo dello smartphone per generare Magicoin, una cripto-valuta simile a Bitcoin.

Il prezzo, quindi, non viene pagato tramite un versamento diretto ma indirettamente, attraverso il consumo di energia elettrica. E il bello è che è tutto scritto nero su bianco.

La descrizione dell’app, infatti, ne spiega (più o meno) il funzionamento. Il problema è che lo fa con termini che però può capire soltanto chi conosce le critpo-valute e il loro funzionamento.

Rassicura anche l’utente riguardo al fatto che non comporta un consumo di batteria (l’app si attiva o dovrebbe attivarsi solo quando il dispositivo è sotto carica) e che non procura un surriscaldamento dello smarpthone.

L’unica parte della descrizione che potrebbe (ma il condizionale è d’obbligo) mettere in guardia il classico “utente medio” è quella in cui si spiega che “software antivirus potrebbero visualizzare un messaggio di avviso riguardo un bitcoinminer”.

Non si può dire che lo sviluppatore stia mentendo, ma per capire davvero che cosa faccia l’app bisogna avere conoscenze che molti degli utenti tipo non hanno.

Quello che non dice è che, in pratica, per tutto il tempo in cui lo smartphone è collegato alla rete elettrica utilizza la sua potenza di calcolo per generare denaro che finisce nelle tasche dello sviluppatore.

Se consideriamo che una delle sue app più popolari ha tra le 5 e i 10 milioni di installazioni, possiamo farci un’idea di quanto possa guadagnare con questo metodo. Più difficile capire quanto possa costare l’attività di mining in termini di consumi di energia elettrica per chi ha installato l’app.

Dopo le segnalazioni, Reward Digger è stata rimossa da Google Play. La domanda a questo punto è: su quanti altri store sarà ancora disponibile? E soprattutto: quali altri trucchetti verranno messi in campo da questo o altri sviluppatori per piazzare miner più o meno nascosti nelle app?

Condividi l'articolo