360发布安卓平台挖矿木马报告:单月木马捕获量近400个
近日,“矿工”这一朴实无华的词语开始走上“技术流”逆袭之路,要问为何?这一切都源于 区块链 和虚拟货币的爆火。2017年以来,全球范围内的虚拟货币价格持续走高,它们中的“王者”,比特币最高时单个币价格逼近2万美元,只要“挖矿”,就能获得一个个价值巨大的代币,也因此引发了一阵“挖矿热”。然而,除了常规的通过矿机挖矿外,还有一些人萌生了借助挖矿木马闷声发大财的想法,他们并不满足于PC端捞钱,还向移动端伸出了“魔爪”。
据360近期发布的《Android平台挖矿木马研究报告》称:从2013年开始至2018年1月,360烽火实验室共捕获Android平台挖矿木马1200余个;单独挖矿同矿池挖矿相比,后者更受挖矿木马作者青睐;不法分子利用多种技术手段,来隐匿自身挖矿行为,让人防不胜防;挖矿木马趋势逐渐明朗,广大用户需小心下载应用,谨慎点击不明链接。
挖矿木马使 手机 变挖矿“劳工” 单月木马捕获量近400个
电子加密货币因不受政府控制,再加上其具备匿名性、难追踪的特性,所以经常被用来进行非法交易。此前全球范围内爆发的WannaCry勒索病毒,其敛财手段便是要求受害人缴纳比特币。交易在全球网络中运行,有特殊的隐秘性,加上不必经过第三方 金融 机构,因此得到越来越广泛的应用。
随着电子加密货币价格的疯狂上涨,挖矿木马的攻击事件也越来越频繁,而不法分子的“作案”平台也慢慢由PC端向移动端转移。2014年3月,首个手机挖矿木马CoinKrypt由国外安全厂商曝光,但受限于移动平台技术、投入产出比过低等因素,手机挖矿木马暂时归于沉寂。
图一:Android平台挖矿木马样本数量历史变化
随着挖矿技术的成熟,挖矿木马乘势再度回归大众视野,并呈现出爆发式增长的趋势。据《报告》数据显示,仅2018年1月,360烽火实验室便捕获Android平台挖矿木马近400个,占全部Android平台挖矿类木马近三分之一。
值得注意的是,从第三方下载站点所捕获的300多个挖矿木马,依据网页上标识进行估算,其APP总下载次数高达260万余次。由此可见,在利益驱使下,未来挖矿木马的数量仍将不断增加,将成为威胁移动安全环境的重大隐患。
“团队作战”和“迂回作战”更受矿工青睐
目前,挖矿方式分为单独挖矿和矿池挖矿两种。由于手机的计算能力相比于其他挖矿设备更是有限,因此,当前Android平台还未发现使用独立挖矿手段来获取电子货币的挖矿木马,矿工一般都是组队进行挖矿。“团队作战”下,矿池的总体性能便会变得十分强大,挖矿成功率将大幅提升,由此带来的盈利也更为可观。
图二:矿池挖矿流程
矿池挖矿也分为一般矿池挖矿和前端矿池挖矿。其中,一般矿池挖矿更为人们熟知,是指直接利用CPU或GPU本身的高速浮点计算能力进行挖矿工作。前端矿池挖矿相对来说,则更为“黑 科技 ”一些,需要先借助于asm.js或webAssembly前端解析器中介或Html5新规范WebGL,再利用CPU或GPU来完成挖矿操作。由于使用方便,跨平台且隐藏性较好等特点,前端矿池挖矿逐渐得到挖矿木马作者的青睐。
木马作者诡计多端 主攻“隐身术”
当攻击者利用挖矿木马远程控制用户手机之后,便可在用户不知情的情况下,迫使手机持续在后台挖掘电子货币为其牟利。而挖矿过程中会占用CPU或GPU资源,用户手机便会出现卡顿、发热或电量骤降等现象。此前,据 媒体 报道,名为“Loapi”挖矿恶意软件,便曾因挖矿导致手机电池过度使用而膨胀,出现手机外壳撑裂的现象。此外,挖矿木马作者还会利用检测设备电量、检测设备唤醒状态、检测设备充电状态、设置不可见的页面进行挖矿、仿冒应用下载器等手段,去 “遮掩罪行”。
图三: 挖矿木马运行 检测设备当前的电量是否大于50%
针对这类问题,360手机卫士安全专家提醒广大用户,对于未知来源的链接、邮件等内容,切勿轻易点击打开,以防挖矿木马恶意软件暗藏其中。用户在下载某款应用时,也应当选择官方、正规应用市场,以免中了“仿冒应用”的招,避免导致手机沦为挖矿苦力。
挖矿木马趋势 渐明朗 用户安全 “防卫战”已打响
据中国 互联网 络信息中心(CNNIC)统计,截至2017年12月,我国手机网民规模达7.53亿,较2016年底增加5734万人。除了基数大之外,手机还具备携带方便、更替性强的特性,因此挖矿木马作者也开始把注意力放到移动端上。那么,在此基础上,Android平台挖矿木马正逐渐朝着以下方向发展。
据《报告》分析结果显示,在某APP下载网站中,其应用内部Coinhive挖取门罗币的JS脚本已开始慢慢取代内嵌广告插件,其盈利模式也由广告转向挖矿。海盗湾作为全球最大的BT站点网站,就曾被爆出过“暗藏脚本利用访客电脑挖矿”的新闻,为人们所诟病。
此外,挖矿币种的选择也在发生着变化,现阶段的挖矿木马主要以门罗币作为挖掘目标。门罗币之所以能成为矿工首选,主要在于其具有更好的匿名性和挖矿算法。不仅如此,门罗币还拥有“自适应区块大小限制”,它可自动的根据交易量的多少来计算需要多大的区块,不存在扩容等问题。最为关键的是,门罗币背靠强大的研发团队,其设计质量及发展目标都极为优越。
尽管很多不法分子通过挖矿木马已赚得盆满钵溢,但他们并不只满足于挖矿这类“费力不讨好”的工作,还将攻击目标转向电子货币钱包。在Android平台,PickBitPocket木马就伪装为比特币钱包应用,成功在Google Play上架。在引诱用户下载后,不法分子就会将用户付款地址替换成自己的比特币地址,以此来盗取用户账户下的比特币。
图四:伪装成比特币钱包的PickBitPocket木马
针对挖矿木马所不断演变的威胁,国内外众多安全厂商已经开始积极应对,为用户推出防御措施。其中,360安全卫士和360安全浏览器便率先推出了“挖矿木马防护”功能,为用户全面防御从各种渠道入侵的挖矿攻击。在移动端,移动平台受限于权限限制,并且App应用又通常自己实现内置浏览器功能,所以不能对挖矿木马进行彻底的拦截。在选择应用下载途径时,应该尽量选择大型可信站点。不要轻易点击来历不明的链接,当手机使用中异常发热和运行卡顿时,应及时使用360手机卫士等安全软件进行扫描检测。