SophosLabs 繼續看到網路型加密貨幣挖礦程式持續增加,它會偷偷利用受害者電腦的處理能力去挖掘數位貨幣。最新的例子是透過 Google Play 上的受感染應用程式來鎖定 Android 裝置。
我們雪梨團隊的網路威脅研究人員 Pankaj Kohli 在一篇新文章中概述了這些對惡意軟體的最新發現。
文章中將 Android 挖礦惡意軟體分為兩大類:JavaScript 寫成的瀏覽器內嵌挖礦程式,以及第三方挖礦模組,如 CoinMiner。
Kohli 回報說,自今年年初以來,SophosLabs 在 Google Play 中發現了 19 個躲藏 JavaScript 挖礦程式 CoinHive 的應用程式。同時,研究人員在 2017 年 6 月至 11 月間發現了超過 28,000 個 Loapi 挖礦惡意軟體的變種。
Coinhive 的運作方式
CoinHive 會透過網頁瀏覽器挖掘 Monero (門羅幣),特別是利用應用程式的網頁檢視。由於這個網頁檢視通常是隱藏式的,不用要求權限就可獲得使用裝置處理能力,所以使用者不會看到任何異常狀況。但是,由於挖礦程式的 CPU 使用率一直很高,使用者可能會注意到裝置變慢且溫度升高。
Coinminer 的運作方式
該第三方挖礦程式使用一個 CpuMineron 版本來在受害者裝置上挖掘 BitCoin (比特幣) 或 Monero。Kohli 解釋說,這個 CoinMiner 已經被發現躲藏在第三方網站流行應用程式的遭駭版本中。這些網站會提供可偽裝成 Google Play 上流行應用程式安裝程式的 App,例如防病毒應用程式、遊戲,公用程式等。
CoinHive 和 CoinMiner 的崛起緊追著另一個在第三方網站上被稱為 Loapi 的惡意挖礦程式,其偽裝成流行的防毒和成人內容 App。它會下載並安裝幾個模組,每個模組執行不同的惡意操作,例如將裝置資訊傳送遠端伺服器、竊取簡訊、置入廣告、抓取網頁、建立代理程式和挖掘 Monero。Sophos Mobile Security (SMSec) 將其偵測為 Andr/Loapi.a 和 Andr/Loapi.B。
Sophos 如何保護客戶
SophosLabs 將 CoinMiner 變種偵測為 Andr/CoinMine-A 和 App/BtMiner-A。CoinHive 的個案被偵測為 App/AndrCnhv-A 和 App/JSMiner。在使用者可能偶遇這些遭駭的網頁之前,我們就已經封鎖了對這些網站的存取。
為了獲得這項保護,我們鼓勵使用者下載 Sophos Mobile Security,這項企業行動管理 (EMM) 技術專門用於保護個人和商業裝置上的企業資訊。
過去我們將偵測到的加密貨幣挖礦程式判定為 PUA (可能不需要的應用程式),意味著不會自動清理。系統管理員將獲得 PUA 偵測警示,可選擇三種可能的選項:清理、授權或知悉。
不過,SophosLabs 開始看到 CoinHive 等出現了狡猾的行為,因次從上個月起改變作法。按照這些類型的加密貨幣挖礦程式的寄生性質,我們現在起將它們標記為惡意軟體,當使用者偶遇窩藏它們的網站時會加以阻擋。
SophosLabs 向 Google 回報了這些最新發現,Google 已經從 Google Play 中刪除了有問題的應用程式。
英文原文: https://news.sophos.com/en-us/2018/02/01/cryptominers-on-google-play-how-sophos-protects-customers
(本博文為翻譯本,內容以英文原文為準)