Krypto-Mining-Kampagne nimmt Millionen von Android-Nutzern ins Visier

Malwarebytes hat eine Krypto-Mining-Kampagne aufgedeckt, der offenbar mehrere Millionen Android-Nutzer zum Opfer gefallen sind. Mithilfe schädlicher Apps und sowie Websites mit speziell präparierten Werbeanzeigen werden Nutzer zu Seiten weitergeleitet, die nur für das Schürfen von Krypto-Währungen eingerichtet wurden. Den Sicherheitsforschern zufolge ist es die bisher größte Kampagne dieser Art, die sich gezielt gegen Nutzer mobiler Geräte richtet.

Die insgesamt fünf Krypto-Mining-Websites haben seit November zusammen rund 800.000 Besucher pro Tag. Mobile Nutzer sind nach Ansicht von Malwarebytes ein leichtes Ziel, weil sie häufig auf Webfilter und Sicherheitsanwendungen verzichten – sie werden also nicht automatisch auf verdächtige Aktivitäten hingewiesen.

Cyberkriminelle nutzen eine falsche Captcha-Abfrage, um die Kryptowährung Monero zu schüren. Auf betroffenen Geräten nutzen die fast die gesamte CPU-Leistung (Screenshots: Malwarebytes).„Keine Plattform ist immun gegen Krypto-Mining, und obwohl mobile Geräte wahrscheinlich weniger leistungsfähig sind als vollwertige Desktop-PCs, gibt es sie häufiger“, sagte Jerome Segura, Lead Malware Intelligence Analyst bei Malwarebytes.

Den Forschern zufolge wurden einige Betroffene während ihrer regulären Internetnutzung ohne ihr Wissen für das Schürfen von Kryptowährungen herangezogen. Wahrscheinlich spielten aber in vielen Fällen schädliche Apps auch eine wichtige Rolle, deren Werbemodule Nutzer auf Seiten mit eingebauten Krypto-Minern umleiten. Die Apps würden wahrscheinlich in nicht vertrauenswürdigen Marktplätzen von Dritten kostenlos angeboten.

In einem Punkt unterscheidet sich die mobile Kampagne von Krypto-Minern für Desktop-Rechner: Die Hintermänner versuchen nicht, das Mining vor den Betroffenen zu verbergen. Stattdessen blendeten sie eine Captcha-Abfrage ein, mit dem Hinweis, dass zur Finanzierung des Captcha-Diensts in Hintergrund eine Kryptowährung generiert werde.

Die Captcha-Abfrage, mit der Anbieter normalerweise überprüfen, ob sie es mit einem Menschen oder einem Bot zu tun haben, hat jedoch stets und auf jedem Geräte dieselbe Lösung: w3FaSO5R. Zudem wwerden die Kryptowährungen im Hintergrund während der Eingabe des Codes stets mit voller Prozessorleistung geschürft.

Um die Verweildauer von Nutzern zu erhöhen, gestalteten die Hintermänner die Captcha-Abfrage als Pop-under-Fenster, das im Hintergrund angezeigt wird. Dadurch war die Mining-Seite durchschnittlich vier Minuten pro Nutzer geöffnet. Zwischen November und Januar hatten zwei der fünf Seiten jeweils mehr als 32 Millionen Besucher. Die Forscher schätzen, dass die Cyberkriminellen nur wenige Tausend Dollar pro Monat in der Kryptowährung Monero generieren.

Derzeit ist die Kampagne noch aktiv. Viele Nutzer seien sich nicht bewusst, dass ihre Smartphones ebenfalls anfällig für Krypto-Mining sei, so Malwarebytes weiter. Generell gälten für sie dieselben Vorsichtsmaßnahmen wie für Desktop-PCs. „Mobile Nutzer sollten den selben Schutz verwenden wie auf ihren PCs, also Ad-Blocker, Webschutz und Sicherheitsanwendungen“, ergänzte Segura.

Der bekannteste Krypto-Miner ist Coinhive. Er findet sich nach Informationen von Adguard inzwischen im Code von über 1000 Websites, wovon etwa 500 Millionen Nutzer betroffen sein sollen. Abhilfe schaffen unter anderem Erweiterungen wie NoScript oder Adblocker wie Adguard und uBlock Origin. Auch Malwarebytes‘ eigene Sicherheitslösung schützt vor dem Coinhive-Miner – nicht aber das in Windows 10 integrierte Microsoft Defender.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de