趨勢科技在本周三表示發現了一種新的 Android 挖礦惡意軟件 HiddenMiner，它可以暗中使用受感染設備的CPU 計算能力來竊取 Monero。HiddenMiner 的自我保護和持久性機制讓它隱藏在用戶設備上濫用設備管理員功能 （通常在 SLocker Android 勒索軟件中看到的技術）。另外，由于 HiddenMiner 的挖礦代碼中沒有設置開關、控制器或優化器，這意味著一旦它開始執行挖礦進程，便會一直持續下去，直到設備電量耗盡為止。鑒于 HiddenMiner 的這種特性，這意味著它很可能會持續挖掘 Monero，直到設備資源耗盡。根據研究人員的說法，HiddenMiner 是在第三方應用商店發現的，大部分受害用戶都位于中國和印度。

          HiddenMiner 的持續挖礦與導致設備電池膨脹的Android 惡意軟件 Loapi 類似，不僅如此，HiddenMiner 還使用了類似于撤銷設備管理權限后 Loapi 鎖定屏幕的技術。

          研究人員通過進一步鉆研 HiddenMiner，發現 Monero 礦池和錢包與惡意軟件連接，并獲悉其中一家運營商從錢包中提取了 26 XMR（截至 2018 年 3 月26 日價值為 5,360 美元）。

        感染鏈與技術分析

          HiddenMiner 偽裝成了合法的 Google Play 商店應用更新程序，使用了與 Google Play 商店相同的圖標。HiddenMiner 隨著 com.google.android.provider 彈出，并要求用戶以設備管理員身份激活它。一旦獲得許可，HiddenMiner 將在后臺開始挖掘 Monero。

        圖 2 惡意應用程序的屏幕要求用戶以設備管理員身份激活它

        HiddenMiner 使用多種技術將自己隱藏在設備中，例如清空應用程序標簽并在安裝后使用透明圖標。一旦受害者以設備管理員身份將其激活，它將通過調用 “ setComponentEnableSetting（）”從應用程序啟動器隱藏自己。需要注意的是，惡意軟件會自行隱藏并自動以設備管理員權限運行，直到下一次設備引導。 DoubleHidden Android 的廣告也采用了類似的技術。

        圖 3 安裝后的空應用程序標簽和透明圖標（左），然后一旦授予設備管理權限就會消失（右）

          除此之外，HiddenMiner 還具有反仿真功能，可繞過檢測和自動分析。它會通過濫用 Github 上的 Android 模擬器檢測器來檢查自身是否在模擬器上運行。

        圖 4 代碼片段顯示了 HiddenMiner 如何繞過沙箱檢測和 Android 模擬器

        圖 5 代碼片段顯示了 HiddenMiner 如何挖掘 Monero

          在 HiddenMiner 的案例中，受害用戶無法將 HiddenMiner 從設備管理員中刪除，因為當用戶想要停用其設備管理員權限時，惡意軟件會利用技巧來鎖定設備的屏幕。因為它利用了 Android 操作系統中發現的缺陷（不包括 Nougat 「Android 7.0」和更高版本的設備，因為 Google 通過減少設備管理員應用程序的權限解決了這一問題。）

          的確，HiddenMiner 是網絡犯罪分子如何駕馭加密貨幣挖掘浪潮的又一例證。對于用戶和企業而言，提高網絡安全意識刻不容緩：僅從官方應用市場下載 APP 、定期更新操作系統以及授予應用程序權限時更加謹慎 等都能在一定程度上減小感染惡意軟件的幾率。