Google Play 再現加密貨幣採礦惡意程式

儘管行動裝置的效能是否能開採出足夠的數位加密貨幣還有待商榷，但對於受害裝置的使用者來說，壞處卻是很明顯的：裝置耗損更快、電池壽命縮短、手機效能變慢。

最近，趨勢科技在 Google Play 商店上發現了幾個具備數位加密貨幣開採能力的惡意應用程式。這些應用程式採用了 JavaScript 動態載入與原生程式碼注入技巧來躲避偵測。我們將偵測到的惡意程式命名為：ANDROIDOS_JSMINER 和 ANDROIDOS_CPUMINER。

這已非第一次這類應用程式在 Google Play 商店上架。多年前，趨勢科技在 Google Play 商店上發現的 ANDROIDOS_KAGECOIN 惡意程式家族即具備數位加密貨幣採礦能力。

ANDROIDOS_JSMINER：利用 Coinhive 程式庫進行採礦

我們先前曾經看過一些技術支援人員詐騙以及遭到駭客入侵的網站被植入 Coinhive 所開發的 JavaScript 數位加密貨幣採礦程式庫。不過這一次看到的卻是以應用程式型態出現，這就是：ANDROIDOS_JSMINER。我們發現了兩個應用程式樣本，其中一個是使用者誦經禱告幫手，另一個是提供各類折扣優惠資訊。

圖 1 和 2：Google Play 商店上的兩個 JSMINER  惡意程式樣本。

不過這兩個惡意程式樣本在啟動之後都會載入 Coinhive 所提供的一個 JavaScript 程式庫，隨即便開始用駭客的網站金鑰來開採數位加密貨幣。

圖 3：應用程式啟動之後開始採礦的程式碼。

這個 JavaScript 程式碼會在應用程式的網頁視窗中執行，但使用者卻不會看到，因為該視窗預設會以隱形模式執行。

圖 4：網頁視窗預設成隱形模式。

當惡意的 JavaScript 程式碼執行時，CPU 用量會突然飆高。

ANDROIDOS_CPUMINER：將一般正常應用程式木馬化

另一個惡意程式家族，則是在一般正常應用程式當中插入採礦程式庫，然後重新包裝上架。這就是 ANDROIDOS_CPUMINER。

此惡意程式曾有一個版本在 Google Play 商店上偽裝成桌布應用程式：

圖 5：Google Play 商店上的採礦惡意程式。

其採礦程式庫似乎是從正常合法的「cpuminer 」採礦程式庫修改而來。正常版本僅開發到 2.5.0 版而已，但惡意程式所用的卻是 2.5.1 版。歹徒會將這份惡意程式庫植入正常應用當中，如下圖所示：

圖 6：CPUMINER 在正常應用程式當中植入採礦程式庫。

請注意，上圖的程式碼結構是取自某個 Google Play 上發現的樣本，同樣也是屬於該惡意程式家族。

圖 7：內嵌惡意程式庫的惡意程式。

這個採礦程式庫會從網路犯罪集團自己的伺服器取得組態設定檔 (該伺服器採用了動態 DNS 服務)。伺服器會利用 Stratum 採礦協定來提供其礦池 (mining pool) 資訊。

圖 8：數位加密貨幣採礦獲利狀況。

從上圖可看出，駭客事實上不只開採一種數位加密貨幣，各貨幣的獲利也不盡相同。不過我們可以看到，在這段不明的期間內，其開採的貨幣大約只值 170 美元左右，但其整體獲利則不得而知。

我們總共發現了 25 個 ANDROIDOS_CPUMINER 樣本。趨勢科技行動安全防護已可偵測其目前所有變種，以及本文前述的 JSMINER 變種。

這些威脅讓我們意識到，就連行動裝置都可能成為歹徒開採數位加密貨幣的礦工 (縱然歹徒目前的獲利似乎仍微不足道)。所以，當使用者在安裝了一個應用程式之後，務必注意一下裝置效能是否明顯變慢。

我們已經將此狀況通報給 Google，而本文所提到的應用程式目前也已從 Google Play 商店下架。

入侵指標資料

以下是我們在 Google Play 商店上發現的相關惡意應用程式：

原文出處：Coin Miner Mobile Malware Returns, Hits Google Play 作者：Jason Gu、Veo Zhang、Seven Shen