趨勢科技最近發現了一個新的 Android 挖礦程式:「ANDROIDOS_HIDDENMINER」, 利用感染裝置的 CPU 來開採門羅幣 (Monero)。該惡意程式會假冒成正常的 Google Play 更新程式 (com.google.android.provider) 並且使用了 Google Play 的圖示。HIDDENMINER挖礦程式會使用手機的運算資源不停挖礦,直到電力耗盡為止。這也會使得手機過熱,甚至故障。這個 Android 上的門羅幣挖礦程式具備自我保護和長期躲藏能力,會利用「裝置管理員」功能讓不熟悉這類技巧的使用者找不到該程式 (這也是 Android 勒索病毒 SLocker 慣用的技倆)。
我們深入分析 HiddenMiner 之後,找到了該程式所連結的礦池和錢包,並且發現歹徒已經從其中一個錢包提領了 26 個門羅幣 (XMR),約合 5,360 美元 (依據 2018 年 3 月 26 日匯率)。這意味著歹徒相當積極地利用感染裝置來開採虛擬貨幣。
全力挖礦,直到手機電力耗盡為止 與另一款導致裝置電池膨脹的Loapi 挖礦程式類似
HiddenMiner 會使用裝置的 CPU 來開採門羅幣,而且 HiddenMiner 的程式碼當中沒有切換開關、調控機制或最佳化設計,換句話說,該程式會全力開採門羅幣,直到裝置資源耗盡為止。照這情況下去,HiddenMiner 很可能會造成手機過熱,甚至故障。
這與另一個 Android 上的門羅幣挖礦程式 Loapi 類似,後者已經被其他資安研究人員發現會造成裝置電池膨脹。其實,HiddenMiner 感染裝置之後的作法也與 Loapi 類似,都是先撤銷原裝置管理員的權限而且會將螢幕畫面鎖住。
HiddenMiner 會出現在第三方應用程式商店。到目前為止,受害的使用者主要分布在印度和中國,但未來若擴散至其他地區亦不令人意外。
圖 1:其中一個門羅幣錢包的狀況。
不停彈出權限要求視窗,要求使用者給予管理者權限,直到使用者點擊同意
HiddenMiner 會假冒成正常的 Google Play 更新程式 (com.google.android.provider) 並且使用了 Google Play 的圖示。它會顯示視窗要求使用者將它啟用成裝置管理員,而且會不斷彈出視窗,直到使用者按下「Activate」(啟用) 按鈕為止。一旦獲得使用者的授權,HiddenMiner 就會開始在背後挖礦。
圖 2:惡意程式要求使用者將它啟用成裝置管理員的畫面。
神隱術:故意將應用程式圖示設成透明,而且使用空白的標籤
HiddenMiner 運用多重技巧來躲藏在裝置內,例如,它在安裝之後會故意將應用程式圖示設成透明,而且使用空白的標籤。一旦取得裝置管理員的權限,就會呼叫系統的 setComponentEnableSetting() 函式將自己從首頁 (Launcher) 畫面移除。請注意,惡意程式會隱藏自己並自動以裝置管理員權限在背後一直執行,直到重新開機為止。另一個名為 DoubleHidden 的 Android 廣告程式也是使用類似技巧。 繼續閱讀