一種新的Android惡意軟體HiddenMiner，影響印度和中國的用戶

一、概要

我們發現了一種新的Android惡意軟體，它可以暗中使用受感染設備的CPU來挖取Monero幣，趨勢科技將其檢測為ANDROIDOS_HIDDENMINER。這個Android版Monero幣挖掘程序的自我保護和持久性機制包括自我（從不知情的用戶身上）隱藏及濫用設備管理員功能（通常在SLocker Android勒索軟體中見到的技術）。

我們對HiddenMiner進行了深入研究，發現Monero幣礦池和錢包與惡意軟體相連，並獲悉其中一個運營者從一個錢包中提取了26 XMR（截至2018年3月26日約5,360美元）。這表明利用受感染設備來挖掘加密貨幣的活動非常活躍。

HiddenMiner使用設備的CPU來挖掘Monero幣。代碼中沒有開關、控制器或優化器，這意味著它將持續挖掘Monero幣，直到設備資源耗盡。鑒於HiddenMiner的這一特質，它可能會導致受影響的設備過熱並可能損壞。

這與其他安全研究人員觀察到的導致設備電池膨脹的Loapi Android惡意軟體類似。事實上，撤銷設備管理許可權後Loapi鎖定屏幕的技術與HiddenMiner類似。

HiddenMiner位於第三方應用程序市場。到目前為止，它影響印度和中國的用戶，當然如果它傳播到其他國家，也不意外。

圖1.一個Monero錢包的狀態截圖

二、感染鏈

圖2.惡意app要求用戶以設備管理員身份激活

三、技術分析

HiddenMiner使用多種技術將自己隱藏在設備中，如清空應用標籤並在安裝後使用透明圖標。一旦被設備管理員激活，它將通過調用setComponentEnableSetting（）從應用程序啟動器中隱藏。請注意，惡意軟體會自行隱藏並自動以設備管理員許可權運行，直到下一次設備重啟。DoubleHidden Android攻擊軟體採用了類似的技術。

圖3. HiddenMiner如何隱藏自己：清空標籤與透明圖標(left), 獲取設備管理許可權後消失(right)

HiddenMiner還具有反模擬功能，可繞過檢測和自動分析。它使用Github上的Android模擬器檢測器來檢查是否在模擬器上運行。

圖4.HiddenMiner如何繞過基於沙盒檢測和分析的Android模擬器的代碼片段

圖5.HiddenMiner挖掘Monero幣的代碼片段

四、濫用設備管理許可權

用戶無法卸載攻擊的系統管理包，除非首先移除其設備管理許可權。在HiddenMiner的案例中，受害者無法將其從設備管理員中移除，因為當用戶想要停用其設備管理許可權時，惡意軟體會利用技巧來鎖定設備屏幕。它利用了除Nougat（Android 7.0）和高版本之外Android操作系統中發現的漏洞。

圖6.HiddenMiner阻止移除設備管理許可權的代碼片段

Google通過降低設備管理員應用程序的許可權，解決了Nougat及其後Android操作系統中的安全問題，以便他們不再鎖定屏幕（如果它是應用程序功能的一部分）。設備管理員將不再通過onDisableRequested（）上下文通知。這些策略並不新鮮：某些Android勒索軟體和信息竊取軟體（即Fobus）就是利用這些技術在設備中立足。

事實上，HiddenMiner是網路犯罪分子如何駕馭加密貨幣挖掘浪潮的又一例證。對於用戶和企業而言，這強化了實踐移動安全的重要性：僅從官方應用市場下載，定期更新設備的操作系統，並在授予應用程序許可權時更加謹慎。

IoC

· 7FBF758FEAF4D992B16B26AC582A4BDCFC1A36B6F29B52FC713A2B8537F54202

· 975A12756CA4F5E428704F7C553FD2B2CCC12F7965DD61C80BEC7BCBA08C1B37

· BF9C41EE9D4A718F6B6958EC2E935395E79882B0EBEE545E2C84277DBA70A657

· B924A8EC7CFC1D5DDD9828467D7FC583FA6B35F441170D171C7A084FFD1799AD

· B40E2EEF49EDB271BBA2E5AD15C773E6EBDF4BFE5822AD93DDFE20847B8F9D67

· 419629E1644B0179F0AE837FE3F8D80C6E490A59838E485EEDA048BF8DF176D2

· 3039B2FF2E1EDB522FFADAEAED8B0CEE1519CFA56FABE7CE6F0F6A50816D026D

· 0156051E50544F9F725B75E32E0ACE888E53FBC79CAC50835B9A9EB39F0FCA84

HiddenMiner 門羅幣相關錢包、礦池:

· pool[.]minergate[.]com

· monero[.]hashvault[.]pro

· monero[.]hashvault[.]pro

· supportxmr[.]com

· 49Bq2bFsvJFAe11SgAZQZjZRn6rE2CXH

z4tkoomgx4pZhkJVSUmUHT4ixRWdGX

8z2cgJeftiyTEK1U1DW7mEZS8E4dF5hkn

· 43QGgipcHvNLBX3nunZLwVQpF6Vbobm

GcQKzXzQ5xMfJgzfRBzfXcJHX1tUHcKP

m9bcjubrzKqTm69JbQSL4B3f6E3mNCbU

· 486GAqHxZnCYNcN2V1SEASSoWmifzXZ

NrDVgZayZXytJFbr1hSaXGyCbLGzwyX1h

eyhcLaps2ZvWFGs1AJKSjEKJNvsTq9q

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！