新的Android挖礦程式又來了,這回要榨乾你的手機電力


趨勢科技最近發現了一個新的 Android 挖礦程式:「ANDROIDOS_HIDDENMINER」, 利用感染裝置的 CPU 來開採門羅幣 (Monero)。該惡意程式會假冒成正常的 Google Play 更新程式 (com.google.android.provider) 並且使用了 Google Play 的圖示。HIDDENMINER挖礦程式會使用手機的運算資源不停挖礦,直到電力耗盡為止。這也會使得手機過熱,甚至故障。這個 Android 上的門羅幣挖礦程式具備自我保護和長期躲藏能力,會利用「裝置管理員」功能讓不熟悉這類技巧的使用者找不到該程式 (這也是 Android 勒索病毒 SLocker 慣用的技倆)。

新的Android挖礦程式又來了,這回要榨乾你的手機電力

我們深入分析 HiddenMiner 之後,找到了該程式所連結的礦池和錢包,並且發現歹徒已經從其中一個錢包提領了 26 個門羅幣 (XMR),約合 5,360 美元 (依據 2018 年 3 月 26 日匯率)。這意味著歹徒相當積極地利用感染裝置來開採虛擬貨幣 

全力挖礦,直到手機電力耗盡為止 與另一款導致裝置電池膨脹的Loapi 挖礦程式類似

 HiddenMiner 會使用裝置的 CPU 來開採門羅幣,而且 HiddenMiner 的程式碼當中沒有切換開關、調控機制或最佳化設計,換句話說,該程式會全力開採門羅幣,直到裝置資源耗盡為止。照這情況下去,HiddenMiner 很可能會造成手機過熱,甚至故障。

這與另一個 Android 上的門羅幣挖礦程式 Loapi 類似,後者已經被其他資安研究人員發現會造成裝置電池膨脹。其實,HiddenMiner 感染裝置之後的作法也與 Loapi 類似,都是先撤銷原裝置管理員的權限而且會將螢幕畫面鎖住。

HiddenMiner 會出現在第三方應用程式商店。到目前為止,受害的使用者主要分布在印度和中國,但未來若擴散至其他地區亦不令人意外。

新的Android挖礦程式又來了,這回要榨乾你的手機電力
圖 1:其中一個門羅幣錢包的狀況。

 

不停彈出權限要求視窗,要求使用者給予管理者權限,直到使用者點擊同意

HiddenMiner 會假冒成正常的 Google Play 更新程式 (com.google.android.provider) 並且使用了 Google Play 的圖示。它會顯示視窗要求使用者將它啟用成裝置管理員,而且會不斷彈出視窗,直到使用者按下「Activate」(啟用) 按鈕為止。一旦獲得使用者的授權,HiddenMiner 就會開始在背後挖礦。

新的Android挖礦程式又來了,這回要榨乾你的手機電力
圖 2:惡意程式要求使用者將它啟用成裝置管理員的畫面。

 

神隱術:故意將應用程式圖示設成透明,而且使用空白的標籤
HiddenMiner 運用多重技巧來躲藏在裝置內,例如,它在安裝之後會故意將應用程式圖示設成透明,而且使用空白的標籤。一旦取得裝置管理員的權限,就會呼叫系統的 setComponentEnableSetting() 函式將自己從首頁 (Launcher) 畫面移除。請注意,惡意程式會隱藏自己並自動以裝置管理員權限在背後一直執行,直到重新開機為止。另一個名為 DoubleHidden 的 Android 廣告程式也是使用類似技巧。

新的Android挖礦程式又來了,這回要榨乾你的手機電力
圖 3:HiddenMiner 如何隱藏自己:剛安裝時會使用空白的應用程式標籤和透明的應用程式圖示 (左),取得裝置管理員權限之後就完全消失 (右)。

除此之外,HiddenMiner 還具備反模擬器能力,能躲避偵測與自動化分析。它會利用 Github 上的一個模擬器偵測程式來檢查自己是否在模擬器當中執行。


新的Android挖礦程式又來了,這回要榨乾你的手機電力
圖 4:HiddenMiner 如何躲避 Android 模擬器 (根據我們的沙盒模擬分析)。

新的Android挖礦程式又來了,這回要榨乾你的手機電力
圖 5:HiddenMiner 如何開採門羅幣。

嘗試解除裝置管理員權限時,挖礦程式就會將螢幕畫面鎖住
使用者若要移除執行中的裝置管理員程式,必須先將它從裝置管理員清單中移除。針對 HiddenMiner 的案例,受害者其實無法將它從裝置管理員清單移除,因為當使用者要解除它的裝置管理員權限時,它就會將螢幕畫面鎖住。它利用的是 Android 作業系統的一個漏洞,此漏洞在 Android 7.0 牛軋糖 (Nougat) 及後續版本已經修正。


新的Android挖礦程式又來了,這回要榨乾你的手機電力
圖 6:HiddenMiner 會防止其裝置管理員權限被移除。

Google 已在 Android 7.0 及後續版本修正此問題,降低了裝置管理員程式的權限,讓裝置管理員無法再將螢幕鎖住 (若為應用程式功能的話)。裝置管理員不會再經由 onDisableRequested() 收到被停用的通知。這類技巧其實不算新奇:某些 Android 勒索病毒和資訊竊取程式 (如 Fobus) 也會利用同樣技巧來長期躲藏在裝置上。

看來,HiddenMiner 又是一個網路犯罪集團趕搭加密虛擬貨幣挖礦熱潮的案例。對企業或一般使用者來說,這也再次突顯養成行動裝置良好使用習慣的重要性:僅從官方商店下載應用程式、定期更新裝置作業系統 (或詢問手機品牌是否提供更新),此外,在提供權限給應用程式時要更加小心謹慎

趨勢科技解決方案
趨勢科技行動安全防護可攔截上述相關惡意應用程式。除此之外,其多層式的防護也能守護裝置的資料與隱私,並且防範勒索病毒、詐騙網站以及身分盜用,有助於保障一般使用者和企業的安全。

針對企業機構,趨勢科技企業版行動安全防護提供了裝置、法規遵循與應用程式的管理,以及資料防護和組態配置,並可防止裝置遭到漏洞攻擊,避免存取未經授權的應用程式,還有偵測並攔截惡意程式和詐騙網站。

趨勢科技的行動應用程式信譽評等服務 (MARS) 已經可以利用先進的沙盒模擬分析與機器學習技術來防範 Android 的威脅,防止使用者遭到惡意程式、零時差漏洞、已知漏洞、隱私外洩、應用程式漏洞等危害。

新的Android挖礦程式又來了,這回要榨乾你的手機電力

虛擬貨幣挖礦不像勒索病毒需要與受害者互動來勒索贖金, 除非裝置上出現電量激增或系統當機的狀況,否則幾乎不會被發現
發現電腦處理速度變慢時,請這麼做:
電腦主機風扇突然變大聲,很吵嗎? 簡單四招降低噪音檢查電腦的 CPU 使用率 ,若有異常飆高現象可以關閉瀏覽器頁面並觀察 CPU 使用率是否回歸正常
電腦主機風扇突然變大聲,很吵嗎? 簡單四招降低噪音免費下載 PC-cillin雲端版檢測確認➔立即下載

入侵指標:
ANDROIDOS_HIDDENMINER (程式套件名稱:com.android.sesupdate) 的相關雜湊碼 (SHA-256):

  • 7FBF758FEAF4D992B16B26AC582A4BDCFC1A36B6F29B52FC713A2B8537F54202
  • E62C034516F28A01ABD1014D5D9CAA7E103AE42C4D38419C39BC9846538747FA
  • 975A12756CA4F5E428704F7C553FD2B2CCC12F7965DD61C80BEC7BCBA08C1B37
  • FD30B04CE4A732FB830A03C1A0AC0FBB0972C87307E515646239B0834156FA0E
  • D21899BDAB5B1D786D8FC6C133385650A4CDA2B71A394B1F8DDC5C0EC39F1523
  • BF9C41EE9D4A718F6B6958EC2E935395E79882B0EBEE545E2C84277DBA70A657
  • B924A8EC7CFC1D5DDD9828467D7FC583FA6B35F441170D171C7A084FFD1799AD
  • B40E2EEF49EDB271BBA2E5AD15C773E6EBDF4BFE5822AD93DDFE20847B8F9D67
  • 419629E1644B0179F0AE837FE3F8D80C6E490A59838E485EEDA048BF8DF176D2
  • 3039B2FF2E1EDB522FFADAEAED8B0CEE1519CFA56FABE7CE6F0F6A50816D026D
  • 1C24C3AD27027E79ADD11D124B1366AE577F9C92CD3302BD26869825C90BF377
  • 0156051E50544F9F725B75E32E0ACE888E53FBC79CAC50835B9A9EB39F0FCA84

 HiddenMiner 的門羅幣礦池和錢包位址:

  • minergate.com
  • hashvault.pro
  • hashvault.pro
  • com
  • 49Bq2bFsvJFAe11SgAZQZjZRn6rE2CXH
    z4tkoomgx4pZhkJVSUmUHT4ixRWdGX
    8z2cgJeftiyTEK1U1DW7mEZS8E4dF5hkn
  • 43QGgipcHvNLBX3nunZLwVQpF6Vbobm
    GcQKzXzQ5xMfJgzfRBzfXcJHX1tUHcKP
    m9bcjubrzKqTm69JbQSL4B3f6E3mNCbU
  • 486GAqHxZnCYNcN2V1SEASSoWmifzXZ
    NrDVgZayZXytJFbr1hSaXGyCbLGzwyX1h
    eyhcLaps2ZvWFGs1AJKSjEKJNvsTq9q