一种新的Android恶意软件HiddenMiner 影响印度和中国的用户

　　一、概要

　　我们发现了一种新的Android恶意软件，它可以暗中使用受感染设备的CPU来挖取Monero币，趋势科技将其检测为ANDROIDOS_HIDDENMINER。这个Android版Monero币挖掘程序的自我保护和持久性机制包括自我（从不知情的用户身上）隐藏及滥用设备管理员功能（通常在SLocker Android勒索软件中见到的技术）。

　　我们对HiddenMiner进行了深入研究，发现Monero币矿池和钱包与恶意软件相连，并获悉其中一个运营者从一个钱包中提取了26 XMR（截至2018年3月26日约5,360美元）。这表明利用受感染设备来挖掘加密货币的活动非常活跃。

　　HiddenMiner使用设备的CPU来挖掘Monero币。代码中没有开关、控制器或优化器，这意味着它将持续挖掘Monero币，直到设备资源耗尽。鉴于HiddenMiner的这一特质，它可能会导致受影响的设备过热并可能损坏。

　　这与其他安全研究人员观察到的导致设备电池膨胀的Loapi Android恶意软件类似。事实上，撤销设备管理权限后Loapi锁定屏幕的技术与HiddenMiner类似。

　　HiddenMiner位于第三方应用程序市场。到目前为止，它影响印度和中国的用户，当然如果它传播到其他国家，也不意外。

图1.一个Monero钱包的状态截图

　　二、感染链

　　HiddenMiner是合法的Google Play更新应用程序，随着com.google.android.providercomplete和Google Play的图标一起弹出。它要求用户以设备管理员身份激活，它会持续弹出，直到受害者点击激活按钮。一旦获得许可，HiddenMiner将在后台开始挖掘Monero。

图2.恶意app要求用户以设备管理员身份激活

　　三、技术分析

　　HiddenMiner使用多种技术将自己隐藏在设备中，如清空应用标签并在安装后使用透明图标。一旦被设备管理员激活，它将通过调用setComponentEnableSetting（）从应用程序启动器中隐藏。请注意，恶意软件会自行隐藏并自动以设备管理员权限运行，直到下一次设备重启。DoubleHidden Android攻击软件采用了类似的技术。

图3. HiddenMiner如何隐藏自己：清空标签与透明图标(left), 获取设备管理权限后消失(right)

　　HiddenMiner还具有反仿真功能，可绕过检测和自动分析。它使用Github上的Android模拟器检测器来检查是否在模拟器上运行。

图4.HiddenMiner如何绕过基于沙盒检测和分析的Android模拟器的代码片段

图5.HiddenMiner挖掘Monero币的代码片段

　　四、滥用设备管理权限

　　用户无法卸载攻击的系统管理包，除非首先移除其设备管理权限。在HiddenMiner的案例中，受害者无法将其从设备管理员中移除，因为当用户想要停用其设备管理权限时，恶意软件会利用技巧来锁定设备屏幕。它利用了除Nougat（Android 7.0）和高版本之外Android操作系统中发现的漏洞。

图6.HiddenMiner阻止移除设备管理权限的代码片段

　　Google通过降低设备管理员应用程序的权限，解决了Nougat及其后Android操作系统中的安全问题，以便他们不再锁定屏幕（如果它是应用程序功能的一部分）。设备管理员将不再通过onDisableRequested（）上下文通知。这些策略并不新鲜：某些Android勒索软件和信息窃取软件（即Fobus）就是利用这些技术在设备中立足。

　　事实上，HiddenMiner是网络犯罪分子如何驾驭加密货币挖掘浪潮的又一例证。对于用户和企业而言，这强化了实践移动安全的重要性：仅从官方应用市场下载，定期更新设备的操作系统，并在授予应用程序权限时更加谨慎。

　　IoC

　　ANDROIDOS_HIDDENMINER Hashes (安装包 com.android.sesupdate):

　　· 7FBF758FEAF4D992B16B26AC582A4BDCFC1A36B6F29B52FC713A2B8537F54202

　　· E62C034516F28A01ABD1014D5D9CAA7E103AE42C4D38419C39BC9846538747FA

　　· 975A12756CA4F5E428704F7C553FD2B2CCC12F7965DD61C80BEC7BCBA08C1B37

　　· FD30B04CE4A732FB830A03C1A0AC0FBB0972C87307E515646239B0834156FA0E

　　· D21899BDAB5B1D786D8FC6C133385650A4CDA2B71A394B1F8DDC5C0EC39F1523

　　· BF9C41EE9D4A718F6B6958EC2E935395E79882B0EBEE545E2C84277DBA70A657

　　· B924A8EC7CFC1D5DDD9828467D7FC583FA6B35F441170D171C7A084FFD1799AD

　　· B40E2EEF49EDB271BBA2E5AD15C773E6EBDF4BFE5822AD93DDFE20847B8F9D67

　　· 419629E1644B0179F0AE837FE3F8D80C6E490A59838E485EEDA048BF8DF176D2

　　· 3039B2FF2E1EDB522FFADAEAED8B0CEE1519CFA56FABE7CE6F0F6A50816D026D

　　· 1C24C3AD27027E79ADD11D124B1366AE577F9C92CD3302BD26869825C90BF377

　　· 0156051E50544F9F725B75E32E0ACE888E53FBC79CAC50835B9A9EB39F0FCA84

　　HiddenMiner 门罗币相关钱包、矿池:

　　· pool[.]minergate[.]com

　　· monero[.]hashvault[.]pro

　　· monero[.]hashvault[.]pro

　　· supportxmr[.]com

　　· 49Bq2bFsvJFAe11SgAZQZjZRn6rE2CXH

　　z4tkoomgx4pZhkJVSUmUHT4ixRWdGX

　　8z2cgJeftiyTEK1U1DW7mEZS8E4dF5hkn

　　· 43QGgipcHvNLBX3nunZLwVQpF6Vbobm

　　GcQKzXzQ5xMfJgzfRBzfXcJHX1tUHcKP

　　m9bcjubrzKqTm69JbQSL4B3f6E3mNCbU

　　· 486GAqHxZnCYNcN2V1SEASSoWmifzXZ

　　NrDVgZayZXytJFbr1hSaXGyCbLGzwyX1h

　　eyhcLaps2ZvWFGs1AJKSjEKJNvsTq9q

责任编辑：韩希宇