趨勢：加密貨幣挖礦活動影響數百萬安卓設備

簡介

通過重定向和木馬應用傳播惡意廣告和在線詐騙活動越來越困擾安卓用戶。因為很多用戶沒有使用web過濾和安全應用服務，所以這讓情況變得更糟。

一個攻擊組織就抓住了這個機會來傳播高獲利的payload：XMR門羅幣挖礦機。今年1月，研究人員發現一起2017年11月就已開始的攻擊活動，上百萬的手機用戶（安卓設備）被重定向到用來進行瀏覽器內挖礦的頁面。

在之前的研究中，研究人員將這種技術定義為自動地、不經過用戶同意的、而且大多是靜默的。這裡，需要用戶輸入驗證碼來證明是真人而不是殭屍機器，如圖：

當用戶輸入驗證碼（w3FaSO5R），點擊continue，手機或平板電腦就會根據設備的處理器全速挖礦。

重定向機制

研究人員在調查1月底的一起惡意軟體活動EITest時，發現許多不同的惡意廣告鏈都會指向Windows設備上的IE或Chrome用戶代理的技術支持騙局。在安卓設備上，就會被重定向到挖礦頁。

有一點很奇怪的是（硬編碼的）靜態代碼能夠通過continue按鈕有效地驗證人和機器的流量。同樣地，當點擊continue時，用戶會被重定向到Google主頁，這也是為了證明用戶的真實性。

安卓用戶也可能會從正常的瀏覽中被重定向，研究人員相信被感染的應用含有能夠載入指向加密貨幣挖礦頁面的廣告模塊。這在安卓生態中是非常常見的，也就是所謂的免費應用（免費應用中常常附帶廣告服務）。

研究人員找到了很多使用相同驗證碼的域名，這些域名使用不同的Coinhive site keys。這額域名都是在不同時間註冊的，最早的是recycloped[.]com2017年11月，這些站點使用的模版也都是相同的。

域名和註冊日期

· recycloped[.]com 2017-11-22

· rcyclmnr[].com 2017-12-01

· rcylpd[.]com 2018-01-03

· rcyclmnrepv[.]com 2018-01-17

· rcyclmnrhgntry[.]com 2018-01-22

流量統計

研究人員相信還有未被發現的域名，但是這些發現的域名也足夠說明該活動的範圍了。研究人員將兩個最活躍的站點共享給了進行web分析服務統計的廣告欺詐研究員 Dr. Augustine Fou，Dr. Augustine Fou證實了研究人員的懷疑，流量主要來源於手機端並且在1月達到峰值。

研究人員估計發現的這5個域名每天的流量大約為80萬，每個用戶的訪問（停留）時間平均為4分鐘。以ARM處理的為標準，研究人員發現哈希的數量為10h/s。

目前還不清楚一共有多少個域名存在，因此也不能推算出一共挖到了多少門羅幣。因為哈希速率低、挖礦時間又有限，研究人員估算每個月利潤只有幾千美元。但是一旦加密貨幣增值，利潤可以迅速翻倍。

結論

在過去的幾個月里，威脅環境是動態變化的，許多威脅單元都加入到加密貨幣挖礦中來。基於惡意軟體的挖礦機和基於web的挖礦機激增，並提供給黑客和犯罪分子新的收入來源。

這種被動式的挖礦現在已經開始影響手機和平板電腦了，影響的方式也不知木馬應用，還通過重定向和彈窗廣告等。雖然移動平台的計算能力不如桌面平台，但是移動平台的數量比較多。與IoT設備相同，許多設備的計算能力聚合在一起就非常龐大了。

研究人員建議在手機和電腦上安裝殺毒軟體等，因為惡意軟體可能會對設備造成永久性的傷害或破壞。

IoC

域名：

rcyclmnr[].com

rcylpd[.]com

recycloped[.]com

rcyclmnrhgntry[.]com

rcyclmnrepv[.]com

進站前鏈結站點：

panelsave[.]com

offerreality[.]com

thewise[.]com

go.bestmobiworld[.]com

questionfly[.]com

goldoffer[.]online

exdynsrv[.]com

thewhizmarketing[.]com

laserveradedomaina[.]com

thewhizproducts[.]com

smartoffer[.]site

formulawire[.]com

machieved[.]com

wtm.monitoringservice[.]co

traffic.tc-clicks[.]com

stonecalcom[.]com

nametraff[.]com

becanium[.]com

afflow.18-plus[.]net

serie-vostfr[.]com

pertholin[.]com

yrdrtzmsmt[.]com

http://yrdrtzmsmt.com

traffic.tc-clicks[.]com

Conhive site keys:

gufKH0i0u47VVmUMCga8oNnjRKi1EbxL

P3IN11cxuF4kf2kviM1a7MntCPu00WTG

zEqkQef50Irljpr1X3BqbHdGjMWnNyCd

rNYyUQUC5iQLdKafFS9Gi2jTVZKX8Vlq

本文翻譯自：https://blog.malwarebytes.com/threat-analysis/2018/02/drive-by-cryptomining-campaign-attracts-millions-of-android-users/ 如若轉載，請註明原文地址： http://www.4hou.com/info/news/10408.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：