趨勢科技最近發現了一個新的 Android 挖礦程式:「ANDROIDOS_HIDDENMINER」, 利用感染裝置的 CPU 來開採門羅幣 (Monero)。該惡意程式會假冒成正常的 Google Play 更新程式 (com.google.android.provider) 並且使用了 Google Play 的圖示。HIDDENMINER挖礦程式會使用手機的運算資源不停挖礦，直到電力耗盡為止。這也會使得手機過熱，甚至故障。這個 Android 上的門羅幣挖礦程式具備自我保護和長期躲藏能力，會利用「裝置管理員」功能讓不熟悉這類技巧的使用者找不到該程式 (這也是 Android 勒索病毒 SLocker 慣用的技倆)。

我們深入分析 HiddenMiner 之後，找到了該程式所連結的礦池和錢包，並且發現歹徒已經從其中一個錢包提領了 26 個門羅幣 (XMR)，約合 5,360 美元 (依據 2018 年 3 月 26 日匯率)。這意味著歹徒相當積極地利用感染裝置來開採虛擬貨幣。 

全力挖礦，直到手機電力耗盡為止 與另一款導致裝置電池膨脹的Loapi 挖礦程式類似

 HiddenMiner 會使用裝置的 CPU 來開採門羅幣，而且 HiddenMiner 的程式碼當中沒有切換開關、調控機制或最佳化設計，換句話說，該程式會全力開採門羅幣，直到裝置資源耗盡為止。照這情況下去，HiddenMiner 很可能會造成手機過熱，甚至故障。

這與另一個 Android 上的門羅幣挖礦程式 Loapi 類似，後者已經被其他資安研究人員發現會造成裝置電池膨脹。其實，HiddenMiner 感染裝置之後的作法也與 Loapi 類似，都是先撤銷原裝置管理員的權限而且會將螢幕畫面鎖住。

HiddenMiner 會出現在第三方應用程式商店。到目前為止，受害的使用者主要分布在印度和中國，但未來若擴散至其他地區亦不令人意外。

圖 1：其中一個門羅幣錢包的狀況。

 

不停彈出權限要求視窗，要求使用者給予管理者權限，直到使用者點擊同意

HiddenMiner 會假冒成正常的 Google Play 更新程式 (com.google.android.provider) 並且使用了 Google Play 的圖示。它會顯示視窗要求使用者將它啟用成裝置管理員，而且會不斷彈出視窗，直到使用者按下「Activate」(啟用) 按鈕為止。一旦獲得使用者的授權，HiddenMiner 就會開始在背後挖礦。

圖 2：惡意程式要求使用者將它啟用成裝置管理員的畫面。

 

神隱術:故意將應用程式圖示設成透明，而且使用空白的標籤
HiddenMiner 運用多重技巧來躲藏在裝置內，例如，它在安裝之後會故意將應用程式圖示設成透明，而且使用空白的標籤。一旦取得裝置管理員的權限，就會呼叫系統的 setComponentEnableSetting() 函式將自己從首頁 (Launcher) 畫面移除。請注意，惡意程式會隱藏自己並自動以裝置管理員權限在背後一直執行，直到重新開機為止。另一個名為 DoubleHidden 的 Android 廣告程式也是使用類似技巧。 繼續閱讀