El aparato hace minería de la moneda virtual Monero hasta que el usuario introduce un código 'captcha'
Lanzan una alerta sobre un programa malicioso que ha secuestrado millones de Android para extraer criptomoneda Monero o XMR sin que el usuario lo sepa y, además, sobrecarga el aparato cautivo. Los analistas de seguridad aseguran que unos 60 millones de usuarios han visitado el dominio malicioso desde el que comienza la colecta subrepticia, al que se llega mediante un anuncio colocado en una página no sospechosa. Al clicar sobre el señuelo, este captura el teléfono y lo pone a trabajar (a hacer mining), haciéndolo funcionar a tope de potencia, lo que puede acabar fundiendo el aparato.
El trabajo oculto de minería comienza cuando el usuario se conecta a una página habitualmente segura y pincha sobre un anuncio malicioso (malvertising). Si al pinchar el malware detecta que se trata de un dispositivo Android, redirige hacia otra página, esta ya maliciosa, y lo pone a picar criptomoneda.
Esa página informa de que el teléfono está teniendo "un comportamiento de navegación sospechoso" y reclama al dueño del teléfono que introduzca un código captcha para verificar que no se trata de un robot, sino de un humano. Cuando esta clave se introduce, la minería cesa, pero el mal ya está hecho. Mientras no se introduzca el código, la minería de criptomoneda sigue en marcha de manera indefinida. La alerta no detalla ni las páginas donde se ha colocado el anuncio trampa ni de qué va este reclamo.
El mal consiste no solo en que el teléfono ha estado recolectando criptomonedas para otros sin que el dueño lo sepa. Además, al trabajar con Monero hace que la CPU del teléfono trabaje al 100%, lo que puede provocar que el chip se sobrecaliente y se bloquee. Malwarebytes Lab recomienda ejecutar un conjunto de antivirus para detener el ataque para evitar que el aparato se funda.