• 移动端
    访问手机端
    官微
    访问官微

    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    一种新的Android恶意软件HiddenMiner 影响印度和中国的用户

    来源:嘶吼RoarTalk 2018-04-13 08:59:01 Android 恶意软件 金融安全
         来源:嘶吼RoarTalk     2018-04-13 08:59:01

    核心提示Monero币矿池和钱包与恶意软件相连,并获悉其中一个运营者从一个钱包中提取了26 XMR(截至2018年3月26日约5,360美元)。这表明利用受感染设备来挖掘加密货币的活动非常活跃。

      一、概要

      我们发现了一种新的Android恶意软件,它可以暗中使用受感染设备的CPU来挖取Monero币,趋势科技将其检测为ANDROIDOS_HIDDENMINER。这个Android版Monero币挖掘程序的自我保护和持久性机制包括自我(从不知情的用户身上)隐藏及滥用设备管理员功能(通常在SLocker Android勒索软件中见到的技术)。

      我们对HiddenMiner进行了深入研究,发现Monero币矿池和钱包与恶意软件相连,并获悉其中一个运营者从一个钱包中提取了26 XMR(截至2018年3月26日约5,360美元)。这表明利用受感染设备来挖掘加密货币的活动非常活跃。

      HiddenMiner使用设备的CPU来挖掘Monero币。代码中没有开关、控制器或优化器,这意味着它将持续挖掘Monero币,直到设备资源耗尽。鉴于HiddenMiner的这一特质,它可能会导致受影响的设备过热并可能损坏。

      这与其他安全研究人员观察到的导致设备电池膨胀的Loapi Android恶意软件类似。事实上,撤销设备管理权限后Loapi锁定屏幕的技术与HiddenMiner类似。

      HiddenMiner位于第三方应用程序市场。到目前为止,它影响印度和中国的用户,当然如果它传播到其他国家,也不意外。

    一种新的Android恶意软件HiddenMiner 影响印度和中国的用户

    图1.一个Monero钱包的状态截图

      二、感染链

      HiddenMiner是合法的Google Play更新应用程序,随着com.google.android.providercomplete和Google Play的图标一起弹出。它要求用户以设备管理员身份激活,它会持续弹出,直到受害者点击激活按钮。一旦获得许可,HiddenMiner将在后台开始挖掘Monero。

    一种新的Android恶意软件HiddenMiner 影响印度和中国的用户

    图2.恶意app要求用户以设备管理员身份激活

      三、技术分析

      HiddenMiner使用多种技术将自己隐藏在设备中,如清空应用标签并在安装后使用透明图标。一旦被设备管理员激活,它将通过调用setComponentEnableSetting()从应用程序启动器中隐藏。请注意,恶意软件会自行隐藏并自动以设备管理员权限运行,直到下一次设备重启。DoubleHidden Android攻击软件采用了类似的技术。

    一种新的Android恶意软件HiddenMiner 影响印度和中国的用户

    图3. HiddenMiner如何隐藏自己:清空标签与透明图标(left), 获取设备管理权限后消失(right)

      HiddenMiner还具有反仿真功能,可绕过检测和自动分析。它使用Github上的Android模拟器检测器来检查是否在模拟器上运行。

    一种新的Android恶意软件HiddenMiner 影响印度和中国的用户

    图4.HiddenMiner如何绕过基于沙盒检测和分析的Android模拟器的代码片段

    一种新的Android恶意软件HiddenMiner 影响印度和中国的用户

    图5.HiddenMiner挖掘Monero币的代码片段

      四、滥用设备管理权限

      用户无法卸载攻击的系统管理包,除非首先移除其设备管理权限。在HiddenMiner的案例中,受害者无法将其从设备管理员中移除,因为当用户想要停用其设备管理权限时,恶意软件会利用技巧来锁定设备屏幕。它利用了除Nougat(Android 7.0)和高版本之外Android操作系统中发现的漏洞。

    一种新的Android恶意软件HiddenMiner 影响印度和中国的用户

    图6.HiddenMiner阻止移除设备管理权限的代码片段

      Google通过降低设备管理员应用程序的权限,解决了Nougat及其后Android操作系统中的安全问题,以便他们不再锁定屏幕(如果它是应用程序功能的一部分)。设备管理员将不再通过onDisableRequested()上下文通知。这些策略并不新鲜:某些Android勒索软件和信息窃取软件(即Fobus)就是利用这些技术在设备中立足。

      事实上,HiddenMiner是网络犯罪分子如何驾驭加密货币挖掘浪潮的又一例证。对于用户和企业而言,这强化了实践移动安全的重要性:仅从官方应用市场下载,定期更新设备的操作系统,并在授予应用程序权限时更加谨慎。

      IoC

      ANDROIDOS_HIDDENMINER Hashes (安装包 com.android.sesupdate):

      · 7FBF758FEAF4D992B16B26AC582A4BDCFC1A36B6F29B52FC713A2B8537F54202

      · E62C034516F28A01ABD1014D5D9CAA7E103AE42C4D38419C39BC9846538747FA

      · 975A12756CA4F5E428704F7C553FD2B2CCC12F7965DD61C80BEC7BCBA08C1B37

      · FD30B04CE4A732FB830A03C1A0AC0FBB0972C87307E515646239B0834156FA0E

      · D21899BDAB5B1D786D8FC6C133385650A4CDA2B71A394B1F8DDC5C0EC39F1523

      · BF9C41EE9D4A718F6B6958EC2E935395E79882B0EBEE545E2C84277DBA70A657

      · B924A8EC7CFC1D5DDD9828467D7FC583FA6B35F441170D171C7A084FFD1799AD

      · B40E2EEF49EDB271BBA2E5AD15C773E6EBDF4BFE5822AD93DDFE20847B8F9D67

      · 419629E1644B0179F0AE837FE3F8D80C6E490A59838E485EEDA048BF8DF176D2

      · 3039B2FF2E1EDB522FFADAEAED8B0CEE1519CFA56FABE7CE6F0F6A50816D026D

      · 1C24C3AD27027E79ADD11D124B1366AE577F9C92CD3302BD26869825C90BF377

      · 0156051E50544F9F725B75E32E0ACE888E53FBC79CAC50835B9A9EB39F0FCA84

      HiddenMiner 门罗币相关钱包、矿池:

      · pool[.]minergate[.]com

      · monero[.]hashvault[.]pro

      · monero[.]hashvault[.]pro

      · supportxmr[.]com

      · 49Bq2bFsvJFAe11SgAZQZjZRn6rE2CXH

      z4tkoomgx4pZhkJVSUmUHT4ixRWdGX

      8z2cgJeftiyTEK1U1DW7mEZS8E4dF5hkn

      · 43QGgipcHvNLBX3nunZLwVQpF6Vbobm

      GcQKzXzQ5xMfJgzfRBzfXcJHX1tUHcKP

      m9bcjubrzKqTm69JbQSL4B3f6E3mNCbU

      · 486GAqHxZnCYNcN2V1SEASSoWmifzXZ

      NrDVgZayZXytJFbr1hSaXGyCbLGzwyX1h

      eyhcLaps2ZvWFGs1AJKSjEKJNvsTq9q

    责任编辑:韩希宇

    免责声明:

    中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。

    为你推荐

    猜你喜欢

    收藏成功

    确定