摘要

　　手機挖礦木馬就是在用戶不知情的情況下利用其手機的計算能力來為攻擊者獲取電子加密貨幣的應用程序。

　　電子加密貨幣是一種匿名性的虛擬貨幣，由于不受政府控制、相對匿名、難以追蹤的特性，電子加密貨幣常被用來進行非法交易，也成為犯罪工具、或隱匿犯罪所得的工具。

　　2014年3月首個Android平臺挖礦木馬被曝光。從2013年開始至2018年1月，360烽火實驗室共捕獲Android平臺挖礦木馬1200余個，其中僅2018年1月Android平臺挖礦木馬接近400個。

　　從Android平臺挖礦木馬偽裝應用類型看，工具類（20%）、下載器類（17%）、壁紙類（14%）是最常偽裝的應用類型。

　　從樣本來源來看，除了被曝光的在Google play中發現的十多個挖礦木馬外，我們在第三方下載站點捕獲了300多個挖礦木馬，總下載次數高達260萬余次。

　　從網站來看，據Adguard數據顯示，2017年近1個月時間內在Alexa排行前十萬的網站上，約有220多個網站在用戶打開主頁時無告知的利用用戶計算機進行挖礦，影響人數多達5億。大多是以視頻門戶網站，文件分享站，色情網站和新聞媒體站等這類相對訪問時間較長的站點。

　　Android平臺發現的挖礦木馬選擇的幣種主要有（BitCoin）、萊特幣(Litecoin)、狗幣(Dogecoin)、卡斯幣(Casinocoin) 以及門羅幣（Monero）這五種。

　　挖礦方式有單獨挖礦和礦池挖礦兩種，Android平臺挖礦木馬主要采用礦池挖礦。

　　Android平臺挖礦木馬技術原理從代碼上看，主要分為使用開源的礦池代碼庫進行挖礦和使用瀏覽器JavaScript腳本挖礦。

　　挖礦木馬的技術手段包括檢測設備電量、喚醒狀態、充電狀態、設置不可見頁面以及仿冒應用下載器。

　　應用盈利模式由廣告轉向挖礦，門羅幣成為挖礦幣種首選以及攻擊目標向電子貨幣錢包轉移成為Android平臺挖礦木馬的趨勢。

　　目前挖礦木馬的防御措施，PC平臺已經具備防御能力，移動平臺由于權限控制不能徹底防御。

　　移動平臺挖礦受限于電池容量和處理器能力，但電子加密貨幣正在快速增長，現有貨幣增值并出現新的貨幣幣種，挖礦最終會變得更有利可圖。

　　國外這種全新的盈利模式，還處在起步階段，還需要更多的控制和監管，避免被惡意利用。

　　關鍵詞：手機挖礦木馬、電子貨幣

　　第一章 Android平臺挖礦木馬介紹

　　一、 什么是手機挖礦木馬

　　挖礦（Mining），是獲取比特幣等電子加密貨幣的勘探方式的昵稱。由于其工作原理與開采礦物十分相似，因而得名。

　　手機挖礦木馬就是在用戶不知情的情況下利用其手機的計算能力來為攻擊者獲取電子加密貨幣的應用程序。

　　二、 電子加密貨幣

　　電子加密貨幣是一種匿名性的虛擬貨幣。它不依靠任何法定貨幣機構發行，更不受央行管控。交易在全球網絡中運行，有特殊的隱秘性，加上不必經過第三方金融機構，因此得到越來越廣泛的應用。

　　由于不受政府控制、相對匿名、難以追蹤的特性，電子加密貨幣常被用來進行非法交易，也成為犯罪工具、或隱匿犯罪所得的工具。以WannaCry為代表的勒索軟件，都采用比特幣為支付工具。

　　2009年，比特幣成為第一個去中心化的電子加密貨幣，也是目前知名度與市場總值最高的加密貨幣。

圖1、比特幣在2013年4月~2018年1月價格變化趨勢

　　2017年比特幣的價格上漲了1500%，最高時單個比特幣價格逼近2萬美元。且隨著比特幣價格的瘋狂上漲，挖礦木馬的攻擊事件也越來越頻繁。

　　三、 手機挖礦木馬歷史演變

　　挖礦木馬最早是2013年在PC平臺上被發現，而首個手機挖礦木馬CoinKrypt最早被國外安全廠商在2014年3月曝光。手機挖礦木馬經過一陣沉寂后，隨著電子加密貨幣價格的一路走高，惡意軟件作者又重新將目標轉向了挖礦。手機挖礦木馬的攻擊事件也重回視野，且勢必是未來惡意軟件的趨勢之一。

圖2

　　2014年03月Android.Coinkrypt，Android平臺上首個挖礦木馬。

　　2014年04月Android. BadLepricon，在Google Play上發現手機挖礦木馬。

　　2014年05月Android. Widdit，首個使用Android挖礦SDK的挖礦木馬。

　　2017年10月Android.JsMiner，首個加載JavaScript的挖礦木馬。

　　2017年10月Android.CpuMiner，首個使用cpuminer庫的挖礦木馬。

　　2017年12月Android.PickBitPocket，偽裝成比特幣錢包的欺詐程序。

　　2017年12月Android.Loapi，擁有復雜模塊化架構的挖礦木馬。

　　2018年1月Android.Hackword，首個使用Coinhive安卓SDK挖礦的木馬。

　　第二章 Android平臺挖礦木馬現狀

　　一、規模和影響

　　從2013年開始至2018年1月，360烽火實驗室共捕獲Android平臺挖礦木馬1200余個，其中僅2018年1月Android平臺挖礦木馬接近400個，占全部Android平臺挖礦類木馬近三分之一。

　　2014年Android挖礦木馬經過短暫的爆發后，于2015，2016年逐漸歸于平靜。主要原因是受到當時移動平臺技術等限制，以及電子貨幣價格影響，木馬作者的投入和產出比不高。但隨著2017年年底電子貨幣價格的一路高漲，挖礦技術的成熟，再次得到木馬作者的目標，手機挖礦木馬在也呈爆發式增長。

圖3

　　Android平臺挖礦木馬偽裝成各類應用軟件，統計發現其中工具類（20%）、下載器類（17%）、壁紙類（14%）是最常偽裝的應用類型。

圖4

　　從樣本來源來看，除了被曝光的在Google play中發現的十多個挖礦木馬外，我們在第三方下載站點捕獲了300多個挖礦木馬，根據其網頁上的標識，估算出這個網站上的APP總下載次數高達260萬余次。

圖5 第三方下載站點下的挖礦木馬

　　從網站來看，據Adguard數據顯示， 2017年近1個月內在Alexa排行前十萬的網站上，約有220多個網站在用戶打開主頁時無告知的利用用戶計算機進行挖礦，影響人數多達5億。

圖6 Adguard近一個月的調查數據

　　這些網站來自美國、印度、俄羅斯、中國、巴西以及中國等多個國家。

圖7 主要國家占比

　　而這部分網站大多是以視頻門戶網站，文件分享站，色情網站和新聞媒體站等這類相對訪問時間較長的站點。

圖8 挖礦網站分類情況

　　二、 目標幣種

　　挖礦木馬在幣種選擇上是隨著幣種的挖掘難度和幣種相對價格等因素而變化。目前在Android平臺發現的挖礦木馬選擇的幣種主要有（BitCoin）、萊特幣(Litecoin)、狗幣(Dogecoin)、卡斯幣(Casinocoin) 以及門羅幣（Monero）這五種。

圖9 幣種優劣勢對比

　　三、挖礦方式及收益分配

　　挖礦方式有單獨挖礦和礦池挖礦兩種。下面以比特幣為例來說明兩種挖礦方式的區別。

　?。ㄒ唬┆毩⑼诘V

　　獨立挖礦是指使用自己計算機當前擁有的計算能力去參與比特幣的挖掘，獲取到的新區塊的收益全歸個人所有。

圖10 獨立挖礦流程

　　比特幣平均每十分鐘產生一個區塊，而參與比特幣挖掘的用戶數量非常龐大，獨立挖礦可能一整年也無法搶到一個區塊。且手機的計算能力相比于其他挖礦設備更是有限，當前Android平臺還未發現使用獨立挖礦手段來獲取電子貨幣的挖礦木馬。

　?。ǘ┑V池挖礦

　　礦工是參與比特幣勘探競爭的網絡成員的昵稱。而礦池是一個通過特定算法而設計的服務器，所有連接到礦池服務器的用戶，會組隊進行挖礦。

　　個人設備的性能雖然渺小，但是成千上萬的人進行組隊挖礦，總體性能就會變得十分強大，在這種情況，挖礦的成功率會大大提升，一旦礦池中的隊伍成功制造了一個區塊，那么所有隊伍中的人會根據每個人貢獻的計算能力進行分紅。礦池的開發者一般會對每個用戶收取一定手續費，但由于這種方法讓大家更穩定得獲得比特幣，大部分礦工都會選擇礦池挖礦，而不是單獨挖礦。

圖11 礦池挖礦流程

　　礦池挖礦也分為一般礦池挖礦和前端礦池挖礦：

　　1. 一般礦池挖礦：一般礦池挖礦直接利用CPU或GPU本身的高速浮點計算能力進行挖礦工作。由使用C或者其他語言構造的挖礦程序進行CPU或GPU計算得到算力價值。礦池根據產生的算力價值進行分紅，并收取10%以下的礦池手續費。

　　2. 前端礦池挖礦：前端挖礦利用asm.js或webAssembly前端解析器中介在瀏覽器端被動使用用戶的CPU完成挖礦或者利用Html5新規范WebGL利用瀏覽器完成GPU挖礦操作。由瀏覽者產生的CPU或GPU計算得到算力價值。前端礦池（如Coinhive）會收取30%的礦池手續費。

　　由于使用方便，跨平臺且隱藏性較好等特點，前端礦池挖礦逐漸得到挖礦木馬作者的青睞。

　　第三章 Android平臺挖礦木馬技術原理

　　一、挖礦技術原理

　　在Android平臺上攻擊者為追求穩定的收益，挖礦方式通常都選擇使用礦池來進行挖礦。攻擊者通過挖礦木馬遠程控制用戶手機，在用戶不知情的情況下，使手機持續在后臺挖掘電子貨幣來為其牟利。

圖12 攻擊者通過挖礦木馬賺取收益的攻擊流程

　　而在代碼層上的表現形式為，嵌入開源的礦池代碼庫進行挖礦和使用礦池提供的瀏覽器JavaScript腳本進行挖礦。

　?。ㄒ唬┦褂瞄_源的礦池代碼庫進行挖礦

　　挖礦木馬CpuMiner 使用開源的挖礦項目cpuminer來開采比特幣和萊特幣：

圖13 Github開源項目

　　步驟一：注冊的挖礦的廣播和服務等組件，在Android Manifest里注冊廣播和挖礦的服務MiningService。

圖14

　　步驟二：嵌入核心的挖礦的庫文件

圖15

　　步驟三：設置挖礦包括算法、礦池地址、礦工賬戶信息等基本信息開始挖礦。

圖16

　　步驟四：執行cpuminer進行挖礦開始挖礦

圖17

　?。ǘ┦褂脼g覽器JavaScript腳本挖礦

　　2017年9月，國外著名的BT站點Pirate Bay（海盜灣）嘗試在網頁中植入JavaScript挖礦腳本，但由于兼容性問題，部分用戶的CPU出現了100%的瘋狂占用，官方承認他們有意借此來增加部分營收。

　　由于瀏覽器JavaScript挖礦腳本配置靈活簡單，具有全平臺化等特點，受到越來越多的惡意挖礦木馬的青睞，同時也導致了利用JavaScript腳本挖礦的安全事件愈發頻繁。

圖18 通過Coinhive提供的JavaScript API

　　二、挖礦木馬的技術手段

　　挖礦的過程運行會占用CPU或GPU資源，造成手機卡頓、發熱或電量驟降等現象，容易被用戶感知。為了隱匿自身挖礦的行為，挖礦木馬會通過一些技術手段來隱藏或控制挖礦行為。

　?。ㄒ唬z測設備電量

　　挖礦木馬運行會導致電池電量明顯下降，為保證手機在多數情況下正常運行而不被用戶察覺，會選擇在電池電量高于50%時才運行挖礦的代碼。

圖19 檢測設備當前的電量是否大于50%

圖20 檢測屏幕喚醒狀態

　?。ǘz測設備充電狀態

　　設備在充電時會有足夠的電量和發熱的想象。在充電時運行挖礦木馬避免用戶察覺挖礦帶來的電量下降和發熱等現象。

圖21

圖22 通過MiningService服務連接Pickaxe礦池來挖掘比特幣

　?。ㄈ┰O置不可見的頁面進行挖礦

　　挖礦木馬通過設置android:visibility為invisible屬性，達到不可見的Webview頁面加載效果從而使用JavaScript腳本進行挖礦，隱藏自身的惡行挖礦行為。

圖23 設置不可見的webview頁面

　?。ㄋ模┓旅皯孟螺d器

　　挖礦木馬通過仿冒熱門應用騙取用戶下載，實際只是應用的下載器，軟件啟動后就開始執行挖礦，僅僅是提供了一個應用的下載鏈接。

圖24 仿冒應用下載器

　　第四章 Android平臺挖礦木馬趨勢

　　Android平臺挖礦木馬的演變很大程度上受到PC上的挖礦木馬影響，通過持續關注挖礦木馬的攻擊事件，我們發現Android平臺挖礦木馬正朝著三個方向發展。

　　一、應用盈利模式由廣告轉向挖礦

　　通過分析來自某個APP下載網站的樣本發現，在其早期的應用中內嵌了廣告插件，軟件運行時會聯網來控制樣本請求訪問的廣告，而在近期當軟件訪問同一個請求時，返回的內容加入Coinhive挖取門羅幣的JS腳本。

圖25 訪問同一鏈接早期與近期返回內容對比

　　對該下載網站進行分析后，發現網站上的軟件中都包含了Coinhive提供的Android SDK example。

圖26

　　二、門羅幣成為挖礦幣種首選

　　對于攻擊者而言，選擇現階段幣種價格相對較高且運算力要求適中的數字貨幣是其短期內獲得較大收益的保障。

　　早期挖礦木馬以比特幣（BitCoin）、萊特幣(Litecoin)、狗幣(Dogecoin)、以及卡斯幣(Casinocoin)為主。

　　而隨著比特幣挖礦難度的提高，新型幣種不斷出現，比特幣已經不在是挖礦木馬唯一的選擇。門羅幣（Monero）首發于2014年4月，發行時間相對較短，現階段的挖礦木馬主要以門羅幣作為挖掘目標，主要在于門羅幣相對其他電子加密貨幣擁有多種明顯的優勢：

　　1）門羅幣具有更好的匿名性。門羅幣在交易中，不涉及提供錢包地址。對方通過錢包地址來查看你的錢包資產情況。

　　2）門羅幣有更好的挖礦算法。它并不依賴于ASIC，使用任何CPU或GPU都可以完成，這就意味著即使普通的計算機用戶也能夠參與到門羅幣挖礦中來。甚至可以利用剩余的計算機能力來挖礦

　　3）門羅幣擁有“自適應區塊大小限制”。門羅幣從一開始就設置了自適應的區塊大小，這意味著，它可以自動的根據交易量的多少來計算需要多大的區塊。因此門羅幣從設計上就不存在像比特幣的擴容等問題。

　　4）門羅幣背后的研發團隊的設計質量發展目標都很優越?；ヂ摼W上有許多優秀的開源門羅幣挖礦項目，擁有眾多貢獻者。

　　三、 黑客攻擊目標向電子貨幣錢包轉移

　　由于攻擊電子貨幣錢包能直接獲取大量的收益，PC上已出現多起攻擊電子貨幣錢包的木馬，通過盜取電子貨幣私鑰或者在付款時更改賬戶地址等手段實現盜取他人賬戶下的電子貨幣。

圖27 偽裝成比特幣錢包的PickBitPocket木馬

　　而在Android平臺也發現了類似的攻擊事件，PickBitPocket木馬偽裝成比特幣錢包應用，且成功上架在Google Play。其在用戶付款時將付款地址替換成攻擊者的比特幣地址，以此來盜取用戶賬戶下的比特幣。

　　對于電子貨幣錢包應用本身存在的漏洞和風險，并沒有引起足夠的重視程度。比特幣地址相當于銀行帳號，私鑰相當于開啟這個帳號的密碼。且通過私鑰可以得知其比特幣地址，并能對該地址下的比特幣進行轉賬，也就是說獲得比特幣私鑰就擁有了該私鑰和地址下的比特幣的完全控制權。我們在調查分析中發現部分電子貨幣錢包甚至將私鑰未加密的備份在SD卡，對于私鑰的備份、存儲安全，還需要進一步的增強。

　　第五章 挖礦木馬的防御措施

　　一、基于PC平臺的防御策略

　　針對挖礦木馬肆虐現狀，360安全衛士和360安全瀏覽器率先推出“挖礦木馬防護”功能，用戶只要開啟該功能，就能全面防御從各種渠道入侵的挖礦攻擊。瀏覽網頁時，會像屏蔽廣告一樣，自動為用戶屏蔽挖礦腳本;下載及使用軟件程序時，會實時攔截各類挖礦代碼的運行并彈窗預警，確保用戶CPU資源不被消耗占用，保障用戶正常的上網體驗。

圖28 360安全衛士推出“挖礦木馬防護 style=”color: rgb(51, 51, 51);”>”功能

　　二、基于移動端的緩解策略

　　與PC平臺相比，移動平臺受限于權限限制，并且App應用又通常自己實現內置瀏覽器功能，所以不能對挖礦木馬進行徹底的攔截。

　　對已有Root權限的手機，可以設置Iptables對挖礦網址進行通信攔截實現防火墻功能。但是，對于普通用戶這種方法操作難度高且網址更新存在滯后性；

　　對沒有Root權限的手機，禁用手機瀏覽器JavaScript特性可以起到一定的防護作用。然而這種方式只能阻止使用瀏覽器訪問網頁的挖礦行為，并不能對應用內嵌的瀏覽器功能進行有效的防護。

圖29 設置手機瀏覽器JavaScript

　　另外，我們建議用戶結合上述方法的同時，應當提高個人安全意識，培養良好的使用手機習慣。在選擇應用下載途徑時，應該盡量選擇大型可信站點。不要輕易點擊來歷不明的鏈接，當手機使用中異常發熱和運行卡頓時，應及時使用安全軟件進行掃描檢測。

　　第六章 總結

　　一、發展前景

　　挖礦、勒索成為2017年兩大全球性的安全話題，不僅僅由于影響廣泛，后果惡劣，更是由于這兩者都出現了從PC向移動平臺蔓延的趨勢。相比PC端，移動終端設備普及率高，攜帶方便，更替性強，因而安全問題的影響速度更快，傳播更廣。然而，移動平臺在挖礦能力上受限于電池容量和處理器能力，并且在挖礦過程中會導致設備卡頓、發熱、電池壽命驟降，甚至出現手機物理損壞問題，就目前來看移動平臺還不是一個可持續性生產電子貨幣的平臺。

　　軟件開發者和網站站主一直在尋找能夠替代廣告、付費、捐贈的新盈利模式。以比特幣、門羅幣為代表的電子加密貨幣正在快速增長，現有貨幣增值并出現新的貨幣幣種，挖礦最終會變得更有利可圖。據了解，去年9月份某位網站站主做了一次將廣告替換成使用Coinhive挖掘門羅幣的嘗試，他在60個小時內收益了0.00947門羅幣（Monero，代號XMR）按照當時的價格約合$0.89，平均每天0.36 美元，比當時條幅和文本廣告的收益要少4~5倍?，F在來看門羅幣（XMR）價格的一路走高，若以當前價格來計算，在網站相同訪問量的情況下挖礦帶來的收益是幾乎等價于甚至高于廣告的收益。

圖30 網站收益統計數據

　　二、風險控制

　　盡管當前國外電子貨幣發展勢頭較猛，但是不可忽視的是方便靈活的全平臺化的挖礦腳本，也讓沉寂多年的移動平臺挖礦木馬注入了新的“活力”。

　　這種全新的盈利模式，還處在起步階段，還需要更多的控制和監管。正如最初廣告的出現，初衷是為了在不影響體驗的情況下，又能達到開發者、網站主和用戶的共贏的目的。但是由于管控不嚴，廣告濫用用戶的設備資源，出現了大量的惡意廣告，不僅嚴重影響用戶體驗，還經常伴隨著惡意扣費、隱私竊取等惡意行為。挖礦與廣告產業的發展會有很多相似之處，雖然能夠替代了擾人的廣告，但是如果不加以控制，在用戶不知情的情況下肆意濫用用戶設備進行挖礦，造成用戶機器過度損耗。

　　我們調查中發現，coinhive已經提供了用戶告知提示，在啟動挖礦程序前會彈出提示框明確告知用戶挖礦行為，如果用戶取消，則可以終止挖礦，這確實是個好的開始。我們希望更多的礦池提供商，能夠進行嚴格控制，避免被惡意利用。我們將持續關注此類惡意程序的發展。

圖31 Coinhive挖礦提示窗

責任編輯：韓希宇