趋势科技发现了一款新型的Android恶意软件HiddenMiner,能在使用者不知情的状况下,榨干装置的资源用来开采Monero加密货币,趋势表示,最近这个恶意软件所连结的钱包被提领了26XMR,市值约5,360美元,显示HiddenMiner感染Android装置来采矿的行为相当活跃。
HiddenMiner伪装成合法的Google Play更新应用程序,以com.google.android.provider身分发布,并带有Google Play图标。HiddenMiner会不停地弹出权限要求窗口,要求用户给予管理者权限,直到使用者点击同意,而一旦获得权限,HiddenMiner便开始在后台开采Monero。
由于Android的规则限制,除非用户移除装置用户权力,否则无法卸除正在运行中的系统管理者套件。HiddenMiner利用这点,当使用者要停用HiddenMiner的装置管理者权限时,HiddenMiner会透过Android 7.0或以上版本的漏洞锁定装置的屏幕,阻止用户的意图。
HiddenMiner使用多种技术隐蔽自己,让一般用户很难发现装置已经受到感染。除了在桌面使用透明图标外,也无法在应用程序行表中看到HiddenMiner,该恶意软件还有防仿真器的功能,以绕过检测以及自动分析的侦测,而且还会透过GitHub上的Android仿真器检测器,来检查自己是否在仿真器上执行。
趋势发现,HiddenMiner中没有开关、控制器或是优化的设计,这代表HiddenMiner会使用装置的运算资源不停的挖矿,直到电力耗尽。趋势认为,这与另一款导致装置电池膨胀的开采Monero恶意软件Loapi行为相似,因此HiddenMiner也存在导致装置过热,损害电池的潜在危险。
HiddenMiner存在第三方的应用程序市集,主要感染地区为印度与中国,趋势表示,有机会扩散至其他国家。
Google透过调低设备管理器权限,来解决屏幕遭恶意软件锁定的安全性问题。趋势建议,Android用户应只从官方应用程序市集Google Play上下载App,定期更新操作系统,并在给予App管理者权限时也应该更谨慎。
