导语:近日安全厂商Malwarebytes发现有一则恶意广告,可将Android用户导向挖矿网站,并趁着使用者解决CAPTCHA图像验证问题之际,让Android装置火力全开地挖矿。

u=1571925609,481224623&fm=27&gp=0.jpg

在19个Google Play应用中发现的JavaScript加密脚本

coinhive是专门提供一个用来挖矿的JS引擎,在被攻击网站上的网页内嵌一段JS代码,只要有人访问被攻击网站,挖矿程序就会在网民的电脑上工作,占用大量的系统资源,导致CPU利用率突然提升,甚至100%!不但被攻击的网站是受害者,普通网民也是受害者。

上周英国网络安全公司Sophos发布的一份13页的安全报告。在这份报告里,Sophos的安全工程师发现了19款Android应用程序,该应用程序都是通过Google Play官方上传的。

Sophos称这些应用程序在用户不知情的情况下,秘密地加载了一个可抑制脚本的实例。

对恶意应用程序的分析显示,这些应用程序的幕后开发者其实就是同一个人或同一个组织,它们将Coinhive JavaScript挖掘代码隐藏在这些应用程序或assets文件夹中的HTML文件中。

当用户启动应用程序时,隐藏的恶意代码就会被执行,此时这些应用程序会打开了一个WebView (Android简化版)浏览器实例。

在某些情况下,如果应用程序没有打开浏览器窗口,WebView组件就隐藏在视图中,而挖掘代码在后台运行。

而在其它情况下,应用程序可能会伪装成新闻阅读器或教程查看器,在用户使用这些应用程序时,浏览器内的JavaScript挖掘代码就会利用应用程序的合法内容上运行。

其中一款应用目前已被下载10万多次了

Sophos发现这19个应用程序分别是通过四个开发者的帐户发布的,研究人员发现除了有一个应用程序(extreme.action.wwe.wrestin)被下载了10万多次外,剩余的都在100-500次之间。

这些应用是在圣诞节前后上传到Google Play的,目前Sophos的研究人员已将所有应用报告给了Google。在编写本文时,这19个应用都已从官方商店被删除了。

Sophos报告的第7页详细列出了这19个含有JavaScript加密脚本的应用程序,用户可以查看列表并检查一下是否安装了其中的任何一个应用程序。

1.png

Sophos还发现了另外有10个应用程序正在执行秘密挖掘活动

在报告的第10页上,Sophos还列出了另一些恶意应用程序的列表,但这些列表中的恶意软件并没有加载Coinhive JavaScript挖矿脚本,而是嵌入了用于挖掘比特币和莱特币的cpuminer库。

2.png

Sophos把加载的这个挖矿软件称为CoinMiner,并表示它已被嵌入了通过第三方Android应用程序商店coandroid.ru网站提供的10个应用程序中。

其实CoinMiner在2017年就被发现了,它是一款无文件的恶意软件,它会利用WMI(Windows Management Instrumentation)在感染的系统上运行命令。专家称,这款软件很难检测,并且会使用永恒之蓝进行传播,这款软件会利用WMI做到在无文件的条件下驻足系统。

不断迭代的挖矿技术

卡巴斯基实验室的最新发现

尽管最近关于非法加密货币挖掘的文章已经泛滥了,但这并不代表犯罪分子缩手缩脚了,相反他们更加肆无忌惮了,就在2017年年底,卡巴斯基实验室发现了一款安卓手机上的恶意软件Trojan.AndroidOS.Loapi,用户点击横幅广告并下载假冒反病毒应用或色情应用后,即中了Loapi病毒的圈套,在安装恶意软件后,它会向使用者要求系统管理员权限,如果遭到拒绝,通知就会循环在屏幕上出现,直到用户不堪其扰点下“确定”按钮。另外,Loapi还具备一个防“降权”的功能,一旦检测到使用者试图在设置界面取消它的管理员权限时,Loapi会关闭手机的设置窗口。这意味着,用户的智能手机一旦感染了Loapi,则设备就可能会被永久性破坏。

Malwarebytes的最新发现

其实黑客们大可不必专门在用户的设备上安装特定的恶意软件来挖矿,近日安全厂商Malwarebytes就发现有一则恶意广告,可将Android用户导向挖矿网站,并趁着使用者解决CAPTCHA图像验证问题之际,让Android装置火力全开地挖矿。

此恶意广告其实早在去年11月就被发现了,黑客是将恶意广告置于合法网站中,然后将用户诱导至挖矿网站,当Android用户连至挖矿网站时,首页会跳出警告讯息,宣称使用者装置出现可疑的浏览行为,要求使用者解决CAPTCHA问题以证明自己并非机器人。

源链接

Hacking more

...