一、概要

　　我們發現了一種新的Android惡意軟件，它可以暗中使用受感染設備的CPU來挖取Monero幣，趨勢科技將其檢測為ANDROIDOS_HIDDENMINER。這個Android版Monero幣挖掘程序的自我保護和持久性機制包括自我（從不知情的用戶身上）隱藏及濫用設備管理員功能（通常在SLocker Android勒索軟件中見到的技術）。

　　我們對HiddenMiner進行了深入研究，發現Monero幣礦池和錢包與惡意軟件相連，并獲悉其中一個運營者從一個錢包中提取了26 XMR（截至2018年3月26日約5,360美元）。這表明利用受感染設備來挖掘加密貨幣的活動非?；钴S。

　　HiddenMiner使用設備的CPU來挖掘Monero幣。代碼中沒有開關、控制器或優化器，這意味著它將持續挖掘Monero幣，直到設備資源耗盡。鑒于HiddenMiner的這一特質，它可能會導致受影響的設備過熱并可能損壞。

　　這與其他安全研究人員觀察到的導致設備電池膨脹的Loapi Android惡意軟件類似。事實上，撤銷設備管理權限后Loapi鎖定屏幕的技術與HiddenMiner類似。

　　HiddenMiner位于第三方應用程序市場。到目前為止，它影響印度和中國的用戶，當然如果它傳播到其他國家，也不意外。

圖1.一個Monero錢包的狀態截圖

　　二、感染鏈

　　HiddenMiner是合法的Google Play更新應用程序，隨著com.google.android.providercomplete和Google Play的圖標一起彈出。它要求用戶以設備管理員身份激活，它會持續彈出，直到受害者點擊激活按鈕。一旦獲得許可，HiddenMiner將在后臺開始挖掘Monero。

圖2.惡意app要求用戶以設備管理員身份激活

　　三、技術分析

　　HiddenMiner使用多種技術將自己隱藏在設備中，如清空應用標簽并在安裝后使用透明圖標。一旦被設備管理員激活，它將通過調用setComponentEnableSetting（）從應用程序啟動器中隱藏。請注意，惡意軟件會自行隱藏并自動以設備管理員權限運行，直到下一次設備重啟。DoubleHidden Android攻擊軟件采用了類似的技術。

圖3. HiddenMiner如何隱藏自己：清空標簽與透明圖標(left), 獲取設備管理權限后消失(right)

　　HiddenMiner還具有反仿真功能，可繞過檢測和自動分析。它使用Github上的Android模擬器檢測器來檢查是否在模擬器上運行。

圖4.HiddenMiner如何繞過基于沙盒檢測和分析的Android模擬器的代碼片段

圖5.HiddenMiner挖掘Monero幣的代碼片段

　　四、濫用設備管理權限

　　用戶無法卸載攻擊的系統管理包，除非首先移除其設備管理權限。在HiddenMiner的案例中，受害者無法將其從設備管理員中移除，因為當用戶想要停用其設備管理權限時，惡意軟件會利用技巧來鎖定設備屏幕。它利用了除Nougat（Android 7.0）和高版本之外Android操作系統中發現的漏洞。

圖6.HiddenMiner阻止移除設備管理權限的代碼片段

　　Google通過降低設備管理員應用程序的權限，解決了Nougat及其后Android操作系統中的安全問題，以便他們不再鎖定屏幕（如果它是應用程序功能的一部分）。設備管理員將不再通過onDisableRequested（）上下文通知。這些策略并不新鮮：某些Android勒索軟件和信息竊取軟件（即Fobus）就是利用這些技術在設備中立足。

　　事實上，HiddenMiner是網絡犯罪分子如何駕馭加密貨幣挖掘浪潮的又一例證。對于用戶和企業而言，這強化了實踐移動安全的重要性：僅從官方應用市場下載，定期更新設備的操作系統，并在授予應用程序權限時更加謹慎。

　　IoC

　　ANDROIDOS_HIDDENMINER Hashes (安裝包 com.android.sesupdate):

　　· 7FBF758FEAF4D992B16B26AC582A4BDCFC1A36B6F29B52FC713A2B8537F54202

　　· E62C034516F28A01ABD1014D5D9CAA7E103AE42C4D38419C39BC9846538747FA

　　· 975A12756CA4F5E428704F7C553FD2B2CCC12F7965DD61C80BEC7BCBA08C1B37

　　· FD30B04CE4A732FB830A03C1A0AC0FBB0972C87307E515646239B0834156FA0E

　　· D21899BDAB5B1D786D8FC6C133385650A4CDA2B71A394B1F8DDC5C0EC39F1523

　　· BF9C41EE9D4A718F6B6958EC2E935395E79882B0EBEE545E2C84277DBA70A657

　　· B924A8EC7CFC1D5DDD9828467D7FC583FA6B35F441170D171C7A084FFD1799AD

　　· B40E2EEF49EDB271BBA2E5AD15C773E6EBDF4BFE5822AD93DDFE20847B8F9D67

　　· 419629E1644B0179F0AE837FE3F8D80C6E490A59838E485EEDA048BF8DF176D2

　　· 3039B2FF2E1EDB522FFADAEAED8B0CEE1519CFA56FABE7CE6F0F6A50816D026D

　　· 1C24C3AD27027E79ADD11D124B1366AE577F9C92CD3302BD26869825C90BF377

　　· 0156051E50544F9F725B75E32E0ACE888E53FBC79CAC50835B9A9EB39F0FCA84

　　HiddenMiner 門羅幣相關錢包、礦池:

　　· pool[.]minergate[.]com

　　· monero[.]hashvault[.]pro

　　· monero[.]hashvault[.]pro

　　· supportxmr[.]com

　　· 49Bq2bFsvJFAe11SgAZQZjZRn6rE2CXH

　　z4tkoomgx4pZhkJVSUmUHT4ixRWdGX

　　8z2cgJeftiyTEK1U1DW7mEZS8E4dF5hkn

　　· 43QGgipcHvNLBX3nunZLwVQpF6Vbobm

　　GcQKzXzQ5xMfJgzfRBzfXcJHX1tUHcKP

　　m9bcjubrzKqTm69JbQSL4B3f6E3mNCbU

　　· 486GAqHxZnCYNcN2V1SEASSoWmifzXZ

　　NrDVgZayZXytJFbr1hSaXGyCbLGzwyX1h

　　eyhcLaps2ZvWFGs1AJKSjEKJNvsTq9q

責任編輯：韓希宇