导语:趋势科技发现了一种新的Android恶意软件,它可以暗中使用受感染设备的CPU来挖取Monero币,影响印度和中国的用户。
一、概要
我们发现了一种新的Android恶意软件,它可以暗中使用受感染设备的CPU来挖取Monero币,趋势科技将其检测为ANDROIDOS_HIDDENMINER。这个Android版Monero币挖掘程序的自我保护和持久性机制包括自我(从不知情的用户身上)隐藏及滥用设备管理员功能(通常在SLocker Android勒索软件中见到的技术)。
我们对HiddenMiner进行了深入研究,发现Monero币矿池和钱包与恶意软件相连,并获悉其中一个运营者从一个钱包中提取了26 XMR(截至2018年3月26日约5,360美元)。这表明利用受感染设备来挖掘加密货币的活动非常活跃。
HiddenMiner使用设备的CPU来挖掘Monero币。代码中没有开关、控制器或优化器,这意味着它将持续挖掘Monero币,直到设备资源耗尽。鉴于HiddenMiner的这一特质,它可能会导致受影响的设备过热并可能损坏。
这与其他安全研究人员观察到的导致设备电池膨胀的Loapi Android恶意软件类似。事实上,撤销设备管理权限后Loapi锁定屏幕的技术与HiddenMiner类似。
HiddenMiner位于第三方应用程序市场。到目前为止,它影响印度和中国的用户,当然如果它传播到其他国家,也不意外。
图1.一个Monero钱包的状态截图
二、感染链
HiddenMiner是合法的Google Play更新应用程序,随着com.google.android.providercomplete和Google Play的图标一起弹出。它要求用户以设备管理员身份激活,它会持续弹出,直到受害者点击激活按钮。一旦获得许可,HiddenMiner将在后台开始挖掘Monero。
图2.恶意app要求用户以设备管理员身份激活
三、技术分析
HiddenMiner使用多种技术将自己隐藏在设备中,如清空应用标签并在安装后使用透明图标。一旦被设备管理员激活,它将通过调用setComponentEnableSetting()从应用程序启动器中隐藏。请注意,恶意软件会自行隐藏并自动以设备管理员权限运行,直到下一次设备重启。DoubleHidden Android攻击软件采用了类似的技术。
图3. HiddenMiner如何隐藏自己:清空标签与透明图标(left), 获取设备管理权限后消失(right)
HiddenMiner还具有反仿真功能,可绕过检测和自动分析。它使用Github上的Android模拟器检测器来检查是否在模拟器上运行。
图4.HiddenMiner如何绕过基于沙盒检测和分析的Android模拟器的代码片段
图5.HiddenMiner挖掘Monero币的代码片段
四、滥用设备管理权限
用户无法卸载攻击的系统管理包,除非首先移除其设备管理权限。在HiddenMiner的案例中,受害者无法将其从设备管理员中移除,因为当用户想要停用其设备管理权限时,恶意软件会利用技巧来锁定设备屏幕。它利用了除Nougat(Android 7.0)和高版本之外Android操作系统中发现的漏洞。
图6.HiddenMiner阻止移除设备管理权限的代码片段
Google通过降低设备管理员应用程序的权限,解决了Nougat及其后Android操作系统中的安全问题,以便他们不再锁定屏幕(如果它是应用程序功能的一部分)。设备管理员将不再通过onDisableRequested()上下文通知。这些策略并不新鲜:某些Android勒索软件和信息窃取软件(即Fobus)就是利用这些技术在设备中立足。
事实上,HiddenMiner是网络犯罪分子如何驾驭加密货币挖掘浪潮的又一例证。对于用户和企业而言,这强化了实践移动安全的重要性:仅从官方应用市场下载,定期更新设备的操作系统,并在授予应用程序权限时更加谨慎。
IoC
ANDROIDOS_HIDDENMINER Hashes (安装包 com.android.sesupdate):
· 7FBF758FEAF4D992B16B26AC582A4BDCFC1A36B6F29B52FC713A2B8537F54202
· E62C034516F28A01ABD1014D5D9CAA7E103AE42C4D38419C39BC9846538747FA
· 975A12756CA4F5E428704F7C553FD2B2CCC12F7965DD61C80BEC7BCBA08C1B37
· FD30B04CE4A732FB830A03C1A0AC0FBB0972C87307E515646239B0834156FA0E
· D21899BDAB5B1D786D8FC6C133385650A4CDA2B71A394B1F8DDC5C0EC39F1523
· BF9C41EE9D4A718F6B6958EC2E935395E79882B0EBEE545E2C84277DBA70A657
· B924A8EC7CFC1D5DDD9828467D7FC583FA6B35F441170D171C7A084FFD1799AD
· B40E2EEF49EDB271BBA2E5AD15C773E6EBDF4BFE5822AD93DDFE20847B8F9D67
· 419629E1644B0179F0AE837FE3F8D80C6E490A59838E485EEDA048BF8DF176D2
· 3039B2FF2E1EDB522FFADAEAED8B0CEE1519CFA56FABE7CE6F0F6A50816D026D
· 1C24C3AD27027E79ADD11D124B1366AE577F9C92CD3302BD26869825C90BF377
· 0156051E50544F9F725B75E32E0ACE888E53FBC79CAC50835B9A9EB39F0FCA84
HiddenMiner 门罗币相关钱包、矿池:
· pool[.]minergate[.]com
· monero[.]hashvault[.]pro
· monero[.]hashvault[.]pro
· supportxmr[.]com
· 49Bq2bFsvJFAe11SgAZQZjZRn6rE2CXH
z4tkoomgx4pZhkJVSUmUHT4ixRWdGX
8z2cgJeftiyTEK1U1DW7mEZS8E4dF5hkn
· 43QGgipcHvNLBX3nunZLwVQpF6Vbobm
GcQKzXzQ5xMfJgzfRBzfXcJHX1tUHcKP
m9bcjubrzKqTm69JbQSL4B3f6E3mNCbU
· 486GAqHxZnCYNcN2V1SEASSoWmifzXZ
NrDVgZayZXytJFbr1hSaXGyCbLGzwyX1h
eyhcLaps2ZvWFGs1AJKSjEKJNvsTq9q