趨勢科技在本周三表示發(fā)現(xiàn)了一種新的 Android 挖礦惡意軟件 HiddenMiner，它可以暗中使用受感染設(shè)備的CPU 計算能力來竊取 Monero。HiddenMiner 的自我保護和持久性機制讓它隱藏在用戶設(shè)備上濫用設(shè)備管理員功能 （通常在 SLocker Android 勒索軟件中看到的技術(shù)）。另外，由于 HiddenMiner 的挖礦代碼中沒有設(shè)置開關(guān)、控制器或優(yōu)化器，這意味著一旦它開始執(zhí)行挖礦進程，便會一直持續(xù)下去，直到設(shè)備電量耗盡為止。鑒于 HiddenMiner 的這種特性，這意味著它很可能會持續(xù)挖掘 Monero，直到設(shè)備資源耗盡。根據(jù)研究人員的說法，HiddenMiner 是在第三方應(yīng)用商店發(fā)現(xiàn)的，大部分受害用戶都位于中國和印度。

          HiddenMiner 的持續(xù)挖礦與導致設(shè)備電池膨脹的Android 惡意軟件 Loapi 類似，不僅如此，HiddenMiner 還使用了類似于撤銷設(shè)備管理權(quán)限后 Loapi 鎖定屏幕的技術(shù)。

          研究人員通過進一步鉆研 HiddenMiner，發(fā)現(xiàn) Monero 礦池和錢包與惡意軟件連接，并獲悉其中一家運營商從錢包中提取了 26 XMR（截至 2018 年 3 月26 日價值為 5,360 美元）。

        感染鏈與技術(shù)分析

          HiddenMiner 偽裝成了合法的 Google Play 商店應(yīng)用更新程序，使用了與 Google Play 商店相同的圖標。HiddenMiner 隨著 com.google.android.provider 彈出，并要求用戶以設(shè)備管理員身份激活它。一旦獲得許可，HiddenMiner 將在后臺開始挖掘 Monero。

        圖 2 惡意應(yīng)用程序的屏幕要求用戶以設(shè)備管理員身份激活它

        HiddenMiner 使用多種技術(shù)將自己隱藏在設(shè)備中，例如清空應(yīng)用程序標簽并在安裝后使用透明圖標。一旦受害者以設(shè)備管理員身份將其激活，它將通過調(diào)用 “ setComponentEnableSetting（）”從應(yīng)用程序啟動器隱藏自己。需要注意的是，惡意軟件會自行隱藏并自動以設(shè)備管理員權(quán)限運行，直到下一次設(shè)備引導。 DoubleHidden Android 的廣告也采用了類似的技術(shù)。

        圖 3 安裝后的空應(yīng)用程序標簽和透明圖標（左），然后一旦授予設(shè)備管理權(quán)限就會消失（右）

          除此之外，HiddenMiner 還具有反仿真功能，可繞過檢測和自動分析。它會通過濫用 Github 上的 Android 模擬器檢測器來檢查自身是否在模擬器上運行。

        圖 4 代碼片段顯示了 HiddenMiner 如何繞過沙箱檢測和 Android 模擬器

        圖 5 代碼片段顯示了 HiddenMiner 如何挖掘 Monero

          在 HiddenMiner 的案例中，受害用戶無法將 HiddenMiner 從設(shè)備管理員中刪除，因為當用戶想要停用其設(shè)備管理員權(quán)限時，惡意軟件會利用技巧來鎖定設(shè)備的屏幕。因為它利用了 Android 操作系統(tǒng)中發(fā)現(xiàn)的缺陷（不包括 Nougat 「Android 7.0」和更高版本的設(shè)備，因為 Google 通過減少設(shè)備管理員應(yīng)用程序的權(quán)限解決了這一問題。）

          的確，HiddenMiner 是網(wǎng)絡(luò)犯罪分子如何駕馭加密貨幣挖掘浪潮的又一例證。對于用戶和企業(yè)而言，提高網(wǎng)絡(luò)安全意識刻不容緩：僅從官方應(yīng)用市場下載 APP 、定期更新操作系統(tǒng)以及授予應(yīng)用程序權(quán)限時更加謹慎 等都能在一定程度上減小感染惡意軟件的幾率。