趋势:加密货币挖矿活动影响数百万安卓设备

导语:加密货币挖矿活动获利巨大,越来越多的黑客和犯罪分子转向加密货币挖矿行动。通过重定向让安卓设备进行挖矿活动,是一种新的威胁,影响数百万安卓设备。

简介

通过重定向和木马应用传播恶意广告和在线诈骗活动越来越困扰安卓用户。因为很多用户没有使用web过滤和安全应用服务,所以这让情况变得更糟。

一个攻击组织就抓住了这个机会来传播高获利的payload:XMR门罗币挖矿机。今年1月,研究人员发现一起2017年11月就已开始的攻击活动,上百万的手机用户(安卓设备)被重定向到用来进行浏览器内挖矿的页面。

在之前的研究中,研究人员将这种技术定义为自动地、不经过用户同意的、而且大多是静默的。这里,需要用户输入验证码来证明是真人而不是僵尸机器,如图:

Android_Drive_by-mining.png

当用户输入验证码(w3FaSO5R),点击continue,手机或平板电脑就会根据设备的处理器全速挖矿。

重定向机制

研究人员在调查1月底的一起恶意软件活动EITest时,发现许多不同的恶意广告链都会指向Windows设备上的IE或Chrome用户代理的技术支持骗局。在安卓设备上,就会被重定向到挖矿页。

Distribution_redirect.png

有一点很奇怪的是(硬编码的)静态代码能够通过continue按钮有效地验证人和机器的流量。同样地,当点击continue时,用户会被重定向到Google主页,这也是为了证明用户的真实性。

安卓用户也可能会从正常的浏览中被重定向,研究人员相信被感染的应用含有能够加载指向加密货币挖矿页面的广告模块。这在安卓生态中是非常常见的,也就是所谓的免费应用(免费应用中常常附带广告服务)。

研究人员找到了很多使用相同验证码的域名,这些域名使用不同的Coinhive site keys。这额域名都是在不同时间注册的,最早的是recycloped[.]com2017年11月,这些站点使用的模版也都是相同的。

域名和注册日期

· recycloped[.]com 2017-11-22

· rcyclmnr[].com 2017-12-01

· rcylpd[.]com 2018-01-03

· rcyclmnrepv[.]com 2018-01-17

· rcyclmnrhgntry[.]com 2018-01-22

流量统计

研究人员相信还有未被发现的域名,但是这些发现的域名也足够说明该活动的范围了。研究人员将两个最活跃的站点共享给了进行web分析服务统计的广告欺诈研究员 Dr. Augustine FouDr. Augustine Fou证实了研究人员的怀疑,流量主要来源于手机端并且在1月达到峰值。

stats.png

研究人员估计发现的这5个域名每天的流量大约为80万,每个用户的访问(停留)时间平均为4分钟。以ARM处理的为标准,研究人员发现哈希的数量为10h/s。

目前还不清楚一共有多少个域名存在,因此也不能推算出一共挖到了多少门罗币。因为哈希速率低、挖矿时间又有限,研究人员估算每个月利润只有几千美元。但是一旦加密货币增值,利润可以迅速翻倍。

结论

在过去的几个月里,威胁环境是动态变化的,许多威胁单元都加入到加密货币挖矿中来。基于恶意软件的挖矿机和基于web的挖矿机激增,并提供给黑客和犯罪分子新的收入来源。

这种被动式的挖矿现在已经开始影响手机和平板电脑了,影响的方式也不知木马应用,还通过重定向和弹窗广告等。虽然移动平台的计算能力不如桌面平台,但是移动平台的数量比较多。与IoT设备相同,许多设备的计算能力聚合在一起就非常庞大了。

研究人员建议在手机和电脑上安装杀毒软件等,因为恶意软件可能会对设备造成永久性的伤害或破坏。

IoC

域名:

rcyclmnr[].com

rcylpd[.]com

recycloped[.]com

rcyclmnrhgntry[.]com

rcyclmnrepv[.]com

进站前链结站点:

panelsave[.]com

offerreality[.]com

thewise[.]com

go.bestmobiworld[.]com

questionfly[.]com

goldoffer[.]online

exdynsrv[.]com

thewhizmarketing[.]com

laserveradedomaina[.]com

thewhizproducts[.]com

smartoffer[.]site

formulawire[.]com

machieved[.]com

wtm.monitoringservice[.]co

traffic.tc-clicks[.]com

stonecalcom[.]com

nametraff[.]com

becanium[.]com

afflow.18-plus[.]net

serie-vostfr[.]com

pertholin[.]com

yrdrtzmsmt[.]com

yrdrtzmsmt.com

traffic.tc-clicks[.]com

Conhive site keys:

gufKH0i0u47VVmUMCga8oNnjRKi1EbxL

P3IN11cxuF4kf2kviM1a7MntCPu00WTG

zEqkQef50Irljpr1X3BqbHdGjMWnNyCd

rNYyUQUC5iQLdKafFS9Gi2jTVZKX8Vlq

源链接

Hacking more

...