手機挖礦惡意程式 - 資安趨勢部落格

你下班了「礦工」還再加班 ! 挖礦劫持鎖定追劇族、手機血拚族、咖啡館久坐族

2018 年 04 月 23 日2018 年 05 月 02 日趨勢科技 TrendMicro

放假時沒有特別的活動時,你通常有什麼安排呢?追劇、滑手機或是找一間可提供插座與 Wi–Fi 又不限時間的咖啡廳打發時間呢?去年勒索病毒大流行時,有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了，原來是中了惡名昭彰的 Cerber勒索病毒! 今年趨勢科技偵測到不少追劇或是成人網站上,出現挖礦程式,這類惡意程式跟勒索病毒不同的是,挖礦程式不需要與受害者互動來勒索贖金，除非裝置上出現電量激增或系統當機的狀況，否則幾乎不會被發現。

五一勞動節將至,提醒三種族群:追劇族、手機血拚族、咖啡館久坐族,當心挖礦程式出沒,免得不小心讓你的電腦或手機裝置成為幫別人賺外快的礦工。

挖礦程式不像勒索病毒,需要與受害者互動來勒索贖金，除非裝置上出現電量激增或系統當機的狀況，否則幾乎不會被發現。

你放假它加班挖礦 24 小時不關機礦工忙到「火大」了

挖礦惡意程式最早出現於 2011 年中期，相較於當時最流行的蠕蟲、後門程式等惡意程式來說，只能算是個配角，但目前已演變成甚至比網路間諜活動還要賺錢的途徑，一些勒索病毒犯罪集團、駭客團體等等都紛紛跳槽加入此一行列。

虛擬貨幣興起全球淘金潮, 2017年挖礦惡意程式, 台灣排全球第三。巨幅的價格波動也開始讓威脅情勢產生變化：只要是有錢賺的地方，歹徒就會蜂擁而至,引發電線短路的火警原因有多,但去年起台灣也出現因為挖礦而導致的火燒民房事件。

去年9月新北市三重一處公寓傳出火警，警消獲報到場後發現，屋內是「比特幣礦場」，至少有15台電腦的機房，疑因二十四小時不斷電挖礦，意外導致延長線不堪負荷走火。這起為挖比特幣24小時不關機的火警事件,當天三重出現兩起,都是24小時不關機、隱身民宅的挖礦機房。

挖礦劫持出沒,三族群,請迴避!

提醒以下在假日經常從事的三種網路活動的朋友,要嚴加小心挖礦程式出沒:

【追劇族】:在家追劇,電腦有可能為駭客做牛做馬挖礦賺外快?
挖礦程式偏好嵌入在使用者可能會停留大量時間的地方，比方說長影片,趨勢科技發現串流媒體的使用者也成為目標。想趁五一勞動節,追劇朋友請當心: Youtube 看影片電腦變好慢?當心駭客正在挖礦賺外快!
前陣子有用戶反應在看 Youtube 的時候，電腦效能變差,原因是 Youtube 上的廣告被發現內含挖礦惡意程式 Coinhive ,也就是說,當你在看 Youtube 影片的同時，你的電腦或手機也默默的成為了不法駭客的「礦工」，幫他挖礦賺外快!據AdGuard研究人員所發表的報告，有近十億串流媒體網站的訪客被秘密地用在虛擬貨幣挖礦活動，這種做法被稱為“挖礦劫持（cryptojacking）”。今年初趨勢科技發現 Coinhive 網頁式挖礦程式的偵測數量突然翻了三倍。我們發現，這些出現在高流量網站上的惡意廣告,利用 Google 的網路廣告服務 DoubleClick 來散布其惡意程式。受影響的國家包括台灣。YouTube 也向媒體證實該站廣告被嵌入Coinhive 挖礦程式。為何針對 Youtube? 駭客應該是看準用戶通常看影片時停留較長時間，有更多時間挖掘加密虛擬貨幣。
【手機血拚族】:滑手機閒逛,購物網站有夠好康,手機會成挖礦機?宣稱是第一個可以使用手機開採的數位加密貨幣的 Electroneum 數位加密貨幣 (簡稱 ETN)，遭受採礦程式的攻擊。一些會在背後載入惡意廣告的網站專門提供一些好康優惠給訪客，使用者一旦點選惡意廣告，它就會在背後載入 ETN 網頁採礦程式，同時將使用者重導至一個正常的購物網站以免被使用者發現。
根據 Alexa 指出，這些惡意廣告所在網站皆名列全球 15,000 大網站，意味著這些惡意網站不乏使用者造訪。另外還要當心新的Android挖礦程式,榨乾你的手機電力!一個新的 Android 挖礦程式:「ANDROIDOS_HIDDENMINER」, 利用感染裝置的 CPU 來開採門羅幣 (Monero)。該惡意程式會假冒成正常的 Google Play 更新程式並且使用了 Google Play 的圖示。HIDDENMINER挖礦程式會使用手機的運算資源不停挖礦，直到電力耗盡為止。這也會使得手機過熱，甚至故障。

【不限時 WIFI 咖啡館久坐族】:到咖啡館上網,可能被偷偷加料挖礦劫持（Cryptojacking）?
跨國連鎖咖啡店星巴克(Starbucks)證實他們位於阿根廷布宜諾斯艾利斯店內的顧客會在不知情下被利用來進行數位貨幣挖礦。看起來似因為這些店家的無線網路被修改過，透過店內的 Wi-Fi 無線網路載入網頁會嵌入CoinHive挖礦程式。因為這樣，連上無線網路的使用者設備會在不知情被利用來挖掘 Monero數位貨幣。
詳請請看:挖礦劫持（Cryptojacking）幫星巴克加料,顧客上網筆電竟成挖礦機。

電腦愈來愈慢手機發燙? 懷疑挖礦程式找上門,立刻檢測

虛擬貨幣挖礦不像勒索病毒需要與受害者互動來勒索贖金，除非裝置上出現電量激增或系統當機的狀況，否則幾乎不會被發現,發現電腦處理速度變慢時，請這麼做:

檢查電腦的 CPU 使用率，若有異常飆高現象可以關閉瀏覽器頁面並觀察 CPU 使用率是否回歸正常
免費下載 PC-cillin雲端版檢測確認➔立即下載

PC-cillin 雲端版封鎖含有挖礦程式的追劇和成人網站》即刻免費下載試用

PC-cillin 雲端版防範勒索保護個資 ✓手機✓電腦✓平板，跨平台防護３到位

手機又沒電的8個原因,遇到榨乾電力的挖礦程式最難察覺

2018 年 04 月 03 日2020 年 05 月 29 日趨勢科技 TrendMicro

明明早上才充飽電，一到下午就開始為手機的電量爭鬥，想盡辦法讓它可以”活著回家”? 趨勢 3C 好麻吉為大家整理了手機耗電量大的 8 個原因,提供給大家檢查一下,是不是平常不知不覺的使用一些不必要的功能增加手機耗電量? (不過,第 8 點榨乾電力的原因跟使用習慣沒有太大關連 >[]<)

app偷吃電?

既然要省電就必須對症下藥，首先，到手機的設定去找尋看看app消耗的電量，如果有些app你很少用卻耗了很多電，趕緊考慮解除安裝它們吧。
螢幕亮度太高?

智慧型手機裡消耗電量最大的地方幾乎都是用在螢幕上，所以使用「自動調整螢幕亮度」這個設定，讓手機系統對不同的環境都能夠自動最佳的調整螢幕亮度，就能夠降低耗電的狀況。繼續閱讀

手機病毒:新的Android挖礦程式又來了,這回要榨乾你的手機電力

2018 年 04 月 03 日2018 年 09 月 25 日趨勢科技 TrendMicro

趨勢科技最近發現了一個新的 Android 挖礦程式:「ANDROIDOS_HIDDENMINER」, 利用感染裝置的 CPU 來開採門羅幣 (Monero)。該惡意程式會假冒成正常的 Google Play 更新程式 (com.google.android.provider) 並且使用了 Google Play 的圖示。HIDDENMINER挖礦程式會使用手機的運算資源不停挖礦，直到電力耗盡為止。這也會使得手機過熱，甚至故障。這個 Android 上的門羅幣挖礦程式具備自我保護和長期躲藏能力，會利用「裝置管理員」功能讓不熟悉這類技巧的使用者找不到該程式 (這也是 Android 勒索病毒 SLocker 慣用的技倆)。

我們深入分析 HiddenMiner 之後，找到了該程式所連結的礦池和錢包，並且發現歹徒已經從其中一個錢包提領了 26 個門羅幣 (XMR)，約合 5,360 美元 (依據 2018 年 3 月 26 日匯率)。這意味著歹徒相當積極地利用感染裝置來開採虛擬貨幣。

全力挖礦，直到手機電力耗盡為止 與另一款導致裝置電池膨脹的Loapi 挖礦程式類似

HiddenMiner 會使用裝置的 CPU 來開採門羅幣，而且 HiddenMiner 的程式碼當中沒有切換開關、調控機制或最佳化設計，換句話說，該程式會全力開採門羅幣，直到裝置資源耗盡為止。照這情況下去，HiddenMiner 很可能會造成手機過熱，甚至故障。

這與另一個 Android 上的門羅幣挖礦程式 Loapi 類似，後者已經被其他資安研究人員發現會造成裝置電池膨脹。其實，HiddenMiner 感染裝置之後的作法也與 Loapi 類似，都是先撤銷原裝置管理員的權限而且會將螢幕畫面鎖住。

HiddenMiner 會出現在第三方應用程式商店。到目前為止，受害的使用者主要分布在印度和中國，但未來若擴散至其他地區亦不令人意外。

圖 1：其中一個門羅幣錢包的狀況。

不停彈出權限要求視窗，要求使用者給予管理者權限，直到使用者點擊同意

HiddenMiner 會假冒成正常的 Google Play 更新程式 (com.google.android.provider) 並且使用了 Google Play 的圖示。它會顯示視窗要求使用者將它啟用成裝置管理員，而且會不斷彈出視窗，直到使用者按下「Activate」(啟用) 按鈕為止。一旦獲得使用者的授權，HiddenMiner 就會開始在背後挖礦。

圖 2：惡意程式要求使用者將它啟用成裝置管理員的畫面。

神隱術:故意將應用程式圖示設成透明，而且使用空白的標籤
HiddenMiner 運用多重技巧來躲藏在裝置內，例如，它在安裝之後會故意將應用程式圖示設成透明，而且使用空白的標籤。一旦取得裝置管理員的權限，就會呼叫系統的 setComponentEnableSetting() 函式將自己從首頁 (Launcher) 畫面移除。請注意，惡意程式會隱藏自己並自動以裝置管理員權限在背後一直執行，直到重新開機為止。另一個名為 DoubleHidden 的 Android 廣告程式也是使用類似技巧。繼續閱讀