挖礦木馬盯上手機 360手機衛士提醒用戶謹慎點擊不明鏈接

近日，「礦工」這一樸實無華的詞語開始走上「技術流」逆襲之路，要問為何?這一切都源於區塊鏈和虛擬貨幣的爆火。2017年以來，全球範圍內的虛擬貨幣價格持續走高，它們中的「王者」，比特幣最高時單個幣價格逼近2萬美元，只要「挖礦」，就能獲得一個個價值巨大的代幣，也因此引發了一陣「挖礦熱」。然而，除了常規的通過礦機挖礦外，還有一些人萌生了藉助挖礦木馬悶聲發大財的想法，他們並不滿足於PC端撈錢，還向移動端伸出了「魔爪」。

據360近期發布的《Android平台挖礦木馬研究報告》稱：從2013年開始至2018年1月，360烽火實驗室共捕獲Android平台挖礦木馬1200餘個;單獨挖礦同礦池挖礦相比，後者更受挖礦木馬作者青睞;不法分子利用多種技術手段，來隱匿自身挖礦行為，讓人防不勝防;挖礦木馬趨勢逐漸明朗，廣大用戶需小心下載應用，謹慎點擊不明鏈接。

挖礦木馬使手機變挖礦「勞工」 單月木馬捕獲量近400個

電子加密貨幣因不受政府控制，再加上其具備匿名性、難追蹤的特性，所以經常被用來進行非法交易。此前全球範圍內爆發的WannaCry勒索病毒，其斂財手段便是要求受害人繳納比特幣。交易在全球網路中運行，有特殊的隱秘性，加上不必經過第三方金融機構，因此得到越來越廣泛的應用。

隨著電子加密貨幣價格的瘋狂上漲，挖礦木馬的攻擊事件也越來越頻繁，而不法分子的「作案」平台也慢慢由PC端向移動端轉移。2014年3月，首個手機挖礦木馬CoinKrypt由國外安全廠商曝光，但受限於移動平台技術、投入產出比過低等因素，手機挖礦木馬暫時歸於沉寂。

圖一：Android平台挖礦木馬樣本數量歷史變化

隨著挖礦技術的成熟，挖礦木馬乘勢再度回歸大眾視野，並呈現出爆髮式增長的趨勢。據《報告》數據顯示，僅2018年1月，360烽火實驗室便捕獲Android平台挖礦木馬近400個，佔全部Android平台挖礦類木馬近三分之一。

值得注意的是，從第三方下載站點所捕獲的300多個挖礦木馬，依據網頁上標識進行估算，其APP總下載次數高達260萬餘次。由此可見，在利益驅使下，未來挖礦木馬的數量仍將不斷增加，將成為威脅移動安全環境的重大隱患。

「團隊作戰」和「迂迴作戰」更受礦工青睞

目前，挖礦方式分為單獨挖礦和礦池挖礦兩種。由於手機的計算能力相比於其他挖礦設備更是有限，因此，當前Android平台還未發現使用獨立挖礦手段來獲取電子貨幣的挖礦木馬，礦工一般都是組隊進行挖礦。「團隊作戰」下，礦池的總體性能便會變得十分強大，挖礦成功率將大幅提升，由此帶來的盈利也更為可觀。

圖二：礦池挖礦流程

礦池挖礦也分為一般礦池挖礦和前端礦池挖礦。其中，一般礦池挖礦更為人們熟知，是指直接利用CPU或GPU本身的高速浮點計算能力進行挖礦工作。前端礦池挖礦相對來說，則更為「黑科技」一些，需要先藉助於asm.js或webAssembly前端解析器中介或Html5新規範WebGL，再利用CPU或GPU來完成挖礦操作。由於使用方便，跨平台且隱藏性較好等特點，前端礦池挖礦逐漸得到挖礦木馬作者的青睞。

木馬作者詭計多端 主攻「隱身術」

當攻擊者利用挖礦木馬遠程控制用戶手機之後，便可在用戶不知情的情況下，迫使手機持續在後台挖掘電子貨幣為其牟利。而挖礦過程中會佔用CPU或GPU資源，用戶手機便會出現卡頓、發熱或電量驟降等現象。此前，據媒體報道，名為「Loapi」挖礦惡意軟體，便曾因挖礦導致手機電池過度使用而膨脹，出現手機外殼撐裂的現象。此外，挖礦木馬作者還會利用檢測設備電量、檢測設備喚醒狀態、檢測設備充電狀態、設置不可見的頁面進行挖礦、仿冒應用下載器等手段，去 「遮掩罪行」。

圖三：挖礦木馬運行檢測設備當前的電量是否大於50%

針對這類問題，360手機衛士安全專家提醒廣大用戶，對於未知來源的鏈接、郵件等內容，切勿輕易點擊打開，以防挖礦木馬惡意軟體暗藏其中。用戶在下載某款應用時，也應當選擇官方、正規應用市場，以免中了「仿冒應用」的招，避免導致手機淪為挖礦苦力。

挖礦木馬趨勢漸明朗 用戶安全「防衛戰」已打響

據中國互聯網路信息中心(CNNIC)統計，截至2017年12月，我國手機網民規模達7.53億，較2016年底增加5734萬人。除了基數大之外，手機還具備攜帶方便、更替性強的特性，因此挖礦木馬作者也開始把注意力放到移動端上。那麼，在此基礎上，Android平台挖礦木馬正逐漸朝著以下方向發展。

據《報告》分析結果顯示，在某APP下載網站中，其應用內部Coinhive挖取門羅幣的JS腳本已開始慢慢取代內嵌廣告插件，其盈利模式也由廣告轉向挖礦。海盜灣作為全球最大的BT站點網站，就曾被爆出過「暗藏腳本利用訪客電腦挖礦」的新聞，為人們所詬病。

此外，挖礦幣種的選擇也在發生著變化，現階段的挖礦木馬主要以門羅幣作為挖掘目標。門羅幣之所以能成為礦工首選，主要在於其具有更好的匿名性和挖礦演算法。不僅如此，門羅幣還擁有「自適應區塊大小限制」，它可自動的根據交易量的多少來計算需要多大的區塊，不存在擴容等問題。最為關鍵的是，門羅幣背靠強大的研發團隊，其設計質量及發展目標都極為優越。

儘管很多不法分子通過挖礦木馬已賺得盆滿缽溢，但他們並不只滿足於挖礦這類「費力不討好」的工作，還將攻擊目標轉向電子貨幣錢包。在Android平台，PickBitPocket木馬就偽裝為比特幣錢包應用，成功在Google Play上架。在引誘用戶下載後，不法分子就會將用戶付款地址替換成自己的比特幣地址，以此來盜取用戶賬戶下的比特幣。

圖四：偽裝成比特幣錢包的PickBitPocket木馬

針對挖礦木馬所不斷演變的威脅，國內外眾多安全廠商已經開始積極應對，為用戶推出防禦措施。其中，360安全衛士和360安全瀏覽器便率先推出了「挖礦木馬防護」功能，為用戶全面防禦從各種渠道入侵的挖礦攻擊。在移動端，移動平台受限於許可權限制，並且App應用又通常自己實現內置瀏覽器功能，所以不能對挖礦木馬進行徹底的攔截。在選擇應用下載途徑時，應該盡量選擇大型可信站點。不要輕易點擊來歷不明的鏈接，當手機使用中異常發熱和運行卡頓時，應及時使用360手機衛士等安全軟體進行掃描檢測。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！