挖矿病毒无处不在—Coinhive android APP滥用分析报告

摘要

近日安恒APT团队截获到一批(300多个)各种类别冒充为黑客破解版本的APK样本:

经过分析为Coinhive网站挖矿API在android平台的滥用,Coinhive其初衷是为消除网站各种烦人广告,将JS lib嵌入网站,当用户浏览网页时消耗用户CPU资源为网站所有者挖掘门罗币来代替广告收入。

其创意精妙但很快被恶意软件作者利用,滥用于各种应用中。如:chrome扩展、伪造站点和被入侵的正常网站。此次蔓延至android平台应用,使用本地打包的JS脚本连接Coinhive网站挖矿API,一旦用户打开APP会跳至一个(虚假)推广激活Webview页面,后台CPU大量占用。即使用户察觉不对,维持十秒左右的持续时间,但随着时间和感染终端的累积会给恶意软件作者获得足够丰厚的利润。如未卸载处置将会随系统自启动在后台服务中持续挖矿,消耗用户资源。

详细技术分析

从目前APK的CA证书来看,这次批量的病毒样本使用同一CA证书,证书时间为“Thu May 11 02:46:07 CST 2017”可以大概定位其生成时间:

代码结构简单清晰,但使用的APP名称及图标全为Hack标识,极具诱导能力:

安装启动后,恶意APP首先在后台开启CoinHiveIntentService服务,并利用WebView组件加载硬编码URL:http://lp.androidapk.world/?appid=<PACKAGE_NAME>:

该页面伪装一个推广页面配合HACK版本的激活条件,表面看起来毫无破绽。但实际推广下载为虚假链接,真实作用还是拖延用户使用时间:

CoinHiveIntentService服务除可从MainActivity启动外,也接受从系统重启Receiver启动:

该服务主要作用为创建CoinHive实例并向其传递固定挖矿key:6GlWvU4BbBgzJ3wzL3mkJEVazCxxIHjF及三个必须参数:

CoinHive最终调用APK本地打包的JS挖矿脚本实现挖矿功能:

防范建议

目前该类恶意APP从VirusTotal各安全厂商的检测结果来看还非常新鲜,告警率极低。

目前该类APP靠割韭菜的方式获利,未使用其他root防卸载等技术,如中招直接卸载即可,另建议警惕各诱惑性质的APP,规范下载使用。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2018-01-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

域名劫持事件频发 网站安全形势不容忽视

  6月26日消息,近日,安恒信息风暴中心在日常监测中发现了多起国内网站域名解析地址跳转至美国或加拿大等国外IP的情况。安恒信息风暴中心对此异常行为进行深入分析...

4336
来自专栏FreeBuf

安全从业人员常用工具指引

简介 一直以来嫌麻烦没注册freebuf,总是以游客的身份在看一些东西,今天特此注册了一下,首先要表扬一下freebuf,安全验证比较给力,其次感谢平台收集并整...

5907
来自专栏魏艾斯博客www.vpsss.net

Vultr 注册购买图文教程

2K3
来自专栏腾讯云安全的专栏

影响1100万网站的漏洞出没作妖,工程师急cry,怎么办?

2268
来自专栏安恒信息

明御邮件安全审计与风险预警平台璀璨首发

2017年国内外发生了一系列邮件不安全事件 ? 邮件安全分析 1.弱口令导致的账号冒用; 2.邮箱系统漏洞,包括Webmail跨站漏洞; 3.邮箱系统遭到攻击入...

4335
来自专栏区块链入门

第十五课 手把手教你以太坊ENS域名注册,抢做一个3000万的发财梦!

【本文目标】 通过本文学习,可以抢注ENS域名,便于后续增值和转账使用。 【前置条件】 本文无技术前置条件,但是需要有超过0.05个ETH的以太坊地址。 ...

2563
来自专栏FreeBuf

利用蓝牙从FUZE获取信用卡数据测试

这篇文章主要讨论关于FUZE Card智能卡的安全问题,这是一种带有蓝牙功能的可编程信用卡,它的大小跟普通信用卡一样,但FUZE可以取代至少30张信用卡,也就是...

1403
来自专栏黑白安全

大量 Mega 帐户的登录信息遭泄露并暴露了用户文件

据外媒 ZDNet 报道,Mega —— 这家于新西兰成立并提供在线云存储和文件托管服务的公司,目前被发现其平台中有成千上万的帐号凭证信息已在网上被公开发布。

1131
来自专栏FreeBuf

如何用一个废旧的笔记本打造一个家庭网络服务器?

本来好好的笔记本的,可偏偏屏幕说烂就烂,那就干脆不要了,改造改造吧! 他本来长这样的,如图: ? 什么,你看见了水印….老哥,别在意这些细节。 简单说一下配置:...

4058
来自专栏魏艾斯博客www.vpsss.net

Siteground注册购买图文教程

Siteground是美国有名的主机商家,经过魏艾斯博客和朋友们几个月的使用,感觉Siteground在稳定性、速度、操作上比较的方便易用,所以写下本文把这个好...

5092

扫码关注云+社区

领取腾讯云代金券