Close

淘金虚拟币网专注各类数字货币资讯

Android平台挖矿木马研究报告

  的计算能力来为攻击者获取电子加密货币的应用程序手机挖矿木马就是在用户不知情的情况下利用其手机。

  种匿名性的虚拟货币电子加密货币是一▲▼,对匿名◆●、难以追踪的特性由于不受政府控制、相▷●•,用来进行非法交易电子加密货币常被,隐匿犯罪所得的工具也成为犯罪工具、或。

  至2018年1月从2013年开始●△★,oid平台挖矿木马1200余个360烽火实验室共捕获Andr,oid平台挖矿木马接近400个其中仅2018年1月Andr。

  挖矿木马伪装应用类型看从Android平台,、壁纸类(14%)是最常伪装的应用类型工具类(20%)、下载器类(17%)•▷。

  来源来看从样本,lay中发现的十多个挖矿木马外除了被曝光的在Google p,获了300多个挖矿木马我们在第三方下载站点捕,达260万余次总下载次数高=○。

  站来看从网,rd数据显示据Adgua,Alexa排行前十万的网站上2017年近1个月时间内在,时无告知的利用用户计算机进行挖矿约有220多个网站在用户打开主页,多达5亿影响人数。频门户网站大多是以视,分享站文件,类相对访问时间较长的站点色情网站和新闻媒体站等这▽…▽。

  )▪◆●、狗币(Dogecoin)、卡斯币(Casinocoin) 以及门罗币(Monero)这五种Android平台发现的挖矿木马选择的币种主要有(BitCoin)-□、莱特币(Litecoin★○。

  木马技术原理从代码上看Android平台挖矿,挖矿和使用浏览器Java脚本挖矿主要分为使用开源的矿池代码库进行。

  、充电状态▪○…、设置不可见页面以及仿冒应用下载器挖矿木马的技术手段包括检测设备电量△=■、唤醒状态。

  由广告转向挖矿应用盈利模式,钱包转移成为Android平台挖矿木马的趋势门罗币成为挖矿币种首选以及攻击目标向电子货币★▪。

  电池容量和处理器能力移动平台挖矿受限于,币正在快速增长但电子加密货,出现新的货币币种现有货币增值并◁☆•,得更有利可图挖矿最终会变。

  ning)挖矿(Mi,密货币的勘探方式的昵称是获取比特币等电子加◇▷●。开采矿物十分相似由于其工作原理与,得名因而。

  的计算能力来为攻击者获取电子加密货币的应用程序手机挖矿木马就是在用户不知情的情况下利用其手机。

  种匿名性的虚拟货币电子加密货币是一。定货币机构发行它不依靠任何法,央行管控更不受。网络中运行交易在全球,的隐秘性有特殊▪=,第三方金融机构加上不必经过,越广泛的应用因此得到越来。

  对匿名、难以追踪的特性由于不受政府控制、相-☆,用来进行非法交易电子加密货币常被,隐匿犯罪所得的工具也成为犯罪工具◆□、或。y为代表的勒索软件以WannaCr,币为支付工具都采用比特。

  09年20◇▷,中心化的电子加密货币比特币成为第一个去▼▲,场总值最高的加密货币也是目前知名度与市△◆•。

  价格上涨了1500%2017年比特币的○◁,价格逼近2万美元最高时单个比特币。价格的疯狂上涨且随着比特币,事件也越来越频繁挖矿木马的攻击。

  3年在PC平台上被发现挖矿木马最早是201,]最早被国外安全厂商在2014年3月曝光而首个手机挖矿木马CoinKrypt[2。经过一阵沉寂后手机挖矿木马•●●,币价格的一路走高随着电子加密货=-•,新将目标转向了挖矿恶意软件作者又重。击事件也重回视野手机挖矿木马的攻▲-,意软件的趋势之一且势必是未来恶。

  至2018年1月从2013年开始,oid平台挖矿木马1200余个360烽火实验室共捕获Andr▪-=,oid平台挖矿木马接近400个其中仅2018年1月Andr,台挖矿类木马近三分之一占全部Android平。

  挖矿木马经过短暂的爆发后2014年Android,015于2=◇,逐渐归于平静2016年。移动平台技术等限制主要原因是受到当时●★,币价格影响以及电子货,入和产出比不高木马作者的投。电子货币价格的一路高涨但随着2017年年底,术的成熟挖矿技▼△,马作者的目标再次得到木,也呈爆发式增长手机挖矿木马在▼◆。

  木马伪装成各类应用软件Android平台挖矿,7%)、壁纸类(14%)是最常伪装的应用类型统计发现其中工具类(20%)▽=、下载器类(1。

  来源来看从样本▽●,lay中发现的十多个挖矿木马外除了被曝光的在Google p,获了300多个挖矿木马我们在第三方下载站点捕□◆•,页上的标识根据其网,总下载次数高达260万余次估算出这个网站上的APP•▽◆。

  站来看从网,数据显示[10]据Adguard■=,lexa排行前十万的网站上2017年近1个月内在A,时无告知的利用用户计算机进行挖矿约有220多个网站在用户打开主页,多达5亿影响人数☆▲。

  是以视频门户网站而这部分网站大多◆◇,分享站文件,类相对访问时间较长的站点色情网站和新闻媒体站等这。

  挖掘难度和币种相对价格等因素而变化挖矿木马在币种选择上是随着币种的。n)、狗币(Dogecoin)、卡斯币(Casinocoin) 以及门罗币(Monero)这五种目前在Android平台发现的挖矿木马选择的币种主要有(BitCoin)…■▪、莱特币(Litecoi。

  拥有的计算能力去参与比特币的挖掘独立挖矿是指使用自己计算机当前,收益全归个人所有获取到的新区块的。

  分钟产生一个区块比特币平均每十,的用户数量非常庞大而参与比特币挖掘-…,也无法抢到一个区块独立挖矿可能一整年。于其他挖矿设备更是有限且手机的计算能力相比,独立挖矿手段来获取电子货币的挖矿木马当前Android平台还未发现使用。

  竞争的网络成员的昵称矿工是参与比特币勘探。定算法而设计的服务器而矿池是一个通过特■□,池服务器的用户所有连接到矿▼▪▼,进行挖矿会组队。

  性能虽然渺小个人设备的△=☆,人进行组队挖矿但是成千上万的,变得十分强大总体性能就会,种情况在这,率会大大提升挖矿的成功,成功制造了一个区块一旦矿池中的队伍•□,个人贡献的计算能力进行分红那么所有队伍中的人会根据每。每个用户收取一定手续费矿池的开发者一般会对,家更稳定得获得比特币但由于这种方法让大▼•,会选择矿池挖矿大部分矿工都▼☆,单独挖矿而不是▪•。

  本身的高速浮点计算能力进行挖矿工作一般矿池挖矿直接利用CPU或GPU。进行CPU或GPU计算得到算力价值由使用C或者其他语言构造的挖矿程序。算力价值进行分红矿池根据产生的◇□▲,下的矿池手续费并收取10%以。

  用户的CPU完成挖矿或者利用Html5新规范WebGL利用浏览器完成GPU挖矿操作前端挖矿利用asm.js或webAssembly前端解析器中介在浏览器端被动使用。GPU计算得到算力价值由浏览者产生的CPU或。11])会收取30%的矿池手续费前端矿池(如Coinhive[。

  攻击者为追求稳定的收益在Android平台上,使用矿池来进行挖矿挖矿方式通常都选择。马远程控制用户手机攻击者通过挖矿木,情的情况下在用户不知,掘电子货币来为其牟利使手机持续在后台挖。

  的表现形式为而在代码层上,矿池提供的浏览器Java脚本进行挖矿嵌入开源的矿池代码库进行挖矿和使用。

  的广播和服务等组件步骤一:注册的挖矿,广播和挖矿的服务MiningService在Android Manifest里注册。

  7年9月201★•◆,湾)[12]尝试在网页中植入Java挖矿脚本国外著名的BT站点Pirate Bay(海盗,容性问题但由于兼,了100%的疯狂占用部分用户的CPU出现,借此来增加部分营收官方承认他们有意。

  挖矿脚本配置灵活简单由于浏览器Java,台化等特点具有全平,意挖矿木马的青睐受到越来越多的恶=◇☆,脚本挖矿的安全事件愈发频繁同时也导致了利用Java…•。

  用CPU或GPU资源挖矿的过程运行会占•□●,热或电量骤降等现象造成手机卡顿=▼◁、发◆☆□,用户感知容易被。身挖矿的行为为了隐匿自,手段来隐藏或控制挖矿行为挖矿木马会通过一些技术…-。

  致电池电量明显下降挖矿木马运行会导▲•,正常运行而不被用户察觉为保证手机在多数情况下,0%时才运行挖矿的代码会选择在电池电量高于5◇▷★。

  机屏幕的唤醒状态挖矿木马会检查手,于唤醒状态当手机处•▷△,时才会开始执行当处于锁屏状态=…,知到挖矿带来的卡顿等影响避免用户在与手机交互时感=-。

  够的电量和发热的想象设备在充电时会有足。觉挖矿带来的电量下降和发热等现象在充电时运行挖矿木马避免用户察。

  ibility为invisible属性挖矿木马通过设置android:vis,载效果从而使用Java脚本进行挖矿达到不可见的Webview页面加,恶行挖矿行为隐藏自身的○▽。

  门应用骗取用户下载挖矿木马通过仿冒热■○,用的下载器实际只是应-◁,开始执行挖矿软件启动后就,个应用的下载链接仅仅是提供了一。

  很大程度上受到PC上的挖矿木马影响Android平台挖矿木马的演变,矿木马的攻击事件通过持续关注挖,挖矿木马正朝着三个方向发展我们发现Android平台。

  P下载网站的样本发现通过分析来自某个AP,中内嵌了广告插件在其早期的应用,制样本请求访问的广告软件运行时会联网来控★☆▷,访问同一个请求时而在近期当软件,ive挖取门罗币的JS脚本返回的内容加入Coinh。

  站进行分析后对该下载网,提供的Android SDK example发现网站上的软件中都包含了Coinhive。

  击者而言对于攻■-,中的数字货币是其短期内获得较大收益的保障选择现阶段币种价格相对较高且运算力要求适。

  挖矿难度的提高而随着比特币,不断出现新型币种◇◁,挖矿木马唯一的选择比特币已经不在是。)首发于2014年4月门罗币(Monero•▷▲,相对较短发行时间■•,以门罗币作为挖掘目标现阶段的挖矿木马主要,加密货币拥有多种明显的优势主要在于门罗币相对其他电子:

  有更好的匿名性1) 门罗币具。在交易中门罗币,供钱包地址不涉及提。查看你的钱包资产情况对方通过钱包地址来=◇。

  更好的挖矿算法2) 门罗币有。于ASIC它并不依赖,GPU都可以完成使用任何CPU或,户也能够参与到门罗币挖矿中来这就意味着即使普通的计算机用。的计算机能力来挖甚至可以利用剩余矿

  自适应区块大小限制”3) 门罗币拥有“◆•。置了自适应的区块大小门罗币从一开始就设,味着这意,多少来计算需要多大的区块它可以自动的根据交易量的▽◇。存在像比特币的扩容等问题因此门罗币从设计上就不◁◁▲。

  的设计质量发展目标都很优越4) 门罗币背后的研发团队。的开源门罗币挖矿项目互联网上有许多优秀,多贡献者拥有众。

  能直接获取大量的收益由于攻击电子货币钱包,击电子货币钱包的木马PC上已出现多起攻◇…◁,户地址等手段实现盗取他人账户下的电子货币通过盗取电子货币私钥或者在付款时更改账。

  也发现了类似的攻击事件而在Android平台,t木马伪装成比特币钱包应用PickBitPocke,ogle Play且成功上架在Go。替换成攻击者的比特币地址其在用户付款时将付款地址,账户下的比特币以此来盗取用户。

  本身存在的漏洞和风险对于电子货币钱包应用,够的重视程度并没有引起足-▷■。当于银行帐号比特币地址相,这个帐号的密码私钥相当于开启。得知其比特币地址且通过私钥可以,的比特币进行转账并能对该地址下□☆,私钥和地址下的比特币的完全控制权也就是说获得比特币私钥就拥有了该=…◆。钱包甚至将私钥未加密的备份在SD卡我们在调查分析中发现部分电子货币,份、存储安全对于私钥的备★▽○,一步的增强还需要进。

  马肆虐现状针对挖矿木,器率先推出“挖矿木马防护…▽○”功能360安全卫士和360安全浏览-=,开启该功能用户只要,渠道入侵的挖矿攻击就能全面防御从各种△▲。网页时浏览,广告一样会像屏蔽,屏蔽挖矿脚本自动为用户■▼▪;软件程序时下载及使用,代码的运行并弹窗预警会实时拦截各类挖矿,资源不被消耗占用确保用户CPU,常的上网体验保障用户正△◇◆。

  平台相比与PC,限于权限限制移动平台受,自己实现内置浏览器功能并且App应用又通常,马进行彻底的拦截所以不能对挖矿木…□□。

  t权限的手机对已有Roo,网址进行通信拦截实现防火墙功能可以设置Iptables对挖矿。是但,难度高且网址更新存在滞后性对于普通用户这种方法操作▪…▷;

  t权限的手机对没有Roo•▪,性可以起到一定的防护作用禁用手机浏览器Java特。浏览器访问网页的挖矿行为然而这种方式只能阻止使用,览器功能进行有效的防护并不能对应用内嵌的浏△■☆。

  外另,合上述方法的同时我们建议用户结,人安全意识应当提高个★□◁,使用手机习惯培养良好的。下载途径时在选择应用,大型可信站点应该尽量选择。来历不明的链接不要轻易点击,发热和运行卡顿时当手机使用中异常,软件进行扫描检测应及时使用安全。

  年两大全球性的安全话题挖矿、勒索成为2017,于影响广泛不仅仅由,恶劣后果,PC向移动平台蔓延的趋势更是由于这两者都出现了从。PC端相比-•,备普及率高移动终端设◁=▲,方便携带,性强更替○▲,的影响速度更快因而安全问题,更广传播。而然…•★,限于电池容量和处理器能力移动平台在挖矿能力上受,备卡顿◁-、发热、电池寿命骤降并且在挖矿过程中会导致设▷▷□,物理损坏问题甚至出现手机,个可持续性生产电子货币的平台就目前来看移动平台还不是一□…。

  够替代广告■△■、付费▲▼•、捐赠的新盈利模式软件开发者和网站站主一直在寻找能。电子加密货币正在快速增长以比特币、门罗币为代表的★◁,出现新的货币币种现有货币增值并,得更有利可图挖矿最终会变。了解据=-△,换成使用Coinhive挖掘门罗币的尝试去年9月份某位网站站主做了一次将广告替,0947门罗币(Monero他在60个小时内收益了0△△.0,的价格约合$0.89代号XMR)按照当时□-,•◆….36 美元平均每天0,告的收益要少4~5倍比当时条幅和文本广。MR)价格的一路走高现在来看门罗币(X,价格来计算若以当前◁▲,收益是几乎等价于甚至高于广告的收益在网站相同访问量的情况下挖矿带来的。

  货币发展势头较猛尽管当前国外电子▽=-,活的全平台化的挖矿脚本但是不可忽视的是方便灵,矿木马注入了新的•--“活力”也让沉寂多年的移动平台挖。

  的盈利模式这种全新,起步阶段还处在,的控制和监管还需要更多。广告的出现正如最初,影响体验的情况下初衷是为了在不,主和用户的共赢的目的又能达到开发者、网站◇◆。管控不严但是由于•△,户的设备资源广告滥用用,的恶意广告出现了大量,响用户体验不仅严重影▼◁=,、隐私窃取等恶意行为还经常伴随着恶意扣费。展会有很多相似之处挖矿与广告产业的发,了扰人的广告虽然能够替代,不加以控制但是如果,意滥用用户设备进行挖矿在用户不知情的情况下肆,器过度损耗造成用户机。

  查中发现我们调,经提供了用户告知提示coinhive已,示框明确告知用户挖矿行为在启动挖矿程序前会弹出提,户取消如果用☆▷△,终止挖矿则可以,个好的开始这确实是。的矿池提供商我们希望更多,严格控制能够进行★★-,恶意利用避免被。类恶意程序的发展我们将持续关注此。狗狗币控制台Android平台挖矿木马研究报告