欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_新闻事件正文

一种新的Android恶意软件HiddenMiner,影响印度和中国的用户

de64384a174e12dc2020-07-08157新闻

一、提纲

我们发清楚明了一种新的Android恶意软件,它可以或许阴郁应用受感染设备的CPU来挖取Monero币,趋势科技将其检测为ANDROIDOS_HIDDENMINER。这个Android版Monero币挖掘递次的自我珍重和持久性机制包含自我(从不知情的用户身上)隐藏及滥用设备***服从(通常在SLocker Android敲诈软件中见到的技术)。

我们对HiddenMiner进行了深入研究,发现Monero币矿池和钱包与恶意软件相连,并得知其中一个运营者从一个钱包中提取了26 XMR(住手2018年3月26日约5,360美圆)。这表明应用受感染设备来挖掘加密泉币的活动非常生动。

HiddenMiner应用设备的CPU来挖掘Monero币。代码中没有开关、控制器或优化器,这意味着它将连续挖掘Monero币,直到设备资源耗尽。鉴于HiddenMiner的这一特质,它可以或许会以致受影响的设备过热并可以或许损坏。

这与其他安然研究人员观察到的以致设备电池压缩的Loapi Android恶意软件类似。事实上,消除设备管理权限后Loapi锁定屏幕的技术与HiddenMiner类似。

HiddenMiner位于第三方应用递次市场。到目前为止,它影响印度和中国的用户,虽然如果它传播到其他国家,也不意外。

1522747001697878.jpg 一种新的Android恶意软件HiddenMiner,影响印度和中国的用户  新闻 第1张 1522747001697878.jpg 一种新的Android恶意软件HiddenMiner,影响印度和中国的用户  新闻 第1张

图1.一个Monero钱包的状态截图

二、感染链

HiddenMiner是合理的Google Play更新应用递次,随着com.谷歌.android.providercomplete和Google Play的图标一同弹出。它要求用户以设备***身份激活,它会连续弹出,直到受害者点击激活按钮。一旦获得许可,HiddenMiner将在配景最早挖掘Monero。

1522747012579260.jpg 一种新的Android恶意软件HiddenMiner,影响印度和中国的用户  新闻 第3张 1522747012579260.jpg 一种新的Android恶意软件HiddenMiner,影响印度和中国的用户  新闻 第3张

图2.恶意app要求用户以设备***身份激活

三、技术理会
HiddenMiner应用多种技术将自身隐藏在设备中,如清空应用标签并在装配后应用透明图标。一旦被设备***激活,它将经过历程调用setComponentEnableSetting()从应用递次启动器中隐藏。请注意,恶意软件会自行隐藏并自动以设备***权限运转,直到下一次设备重启。DoubleHidden Android进击软件采用了类似的技术。

1522747025642951.jpg 一种新的Android恶意软件HiddenMiner,影响印度和中国的用户  新闻 第5张 1522747025642951.jpg 一种新的Android恶意软件HiddenMiner,影响印度和中国的用户  新闻 第5张

图3. HiddenMiner如何隐藏自身:清空标签与透明图标(left), 猎取设备管理权限后消失(right)

HiddenMiner还具有反仿真服从,可绕过检测和自动理会。它应用Github上的Android模拟器检测器来搜检是否是在模拟器上运转。

1522747039596299.jpg 一种新的Android恶意软件HiddenMiner,影响印度和中国的用户  新闻 第7张 1522747039596299.jpg 一种新的Android恶意软件HiddenMiner,影响印度和中国的用户  新闻 第7张

图4.HiddenMiner如何绕过基于沙盒检测和理会的Android模拟器的代码片段

1522747053783617.jpg 一种新的Android恶意软件HiddenMiner,影响印度和中国的用户  新闻 第9张 1522747053783617.jpg 一种新的Android恶意软件HiddenMiner,影响印度和中国的用户  新闻 第9张

图5.HiddenMiner挖掘Monero币的代码片段

四、滥用设备管理权限

用户没法卸载进击的系统管理包,除非首先移除其设备管理权限。在HiddenMiner的案例中,受害者没法将其从设备***中移除,因为当用户想要停用其设备管理权限时,恶意软件会应用技能来锁定设备屏幕。它应用了除Nougat(Android 7.0)和高版本之外Android操作系统中发现的马脚。


1522747068633763.jpg 一种新的Android恶意软件HiddenMiner,影响印度和中国的用户  新闻 第11张 1522747068633763.jpg 一种新的Android恶意软件HiddenMiner,影响印度和中国的用户  新闻 第11张

----------------------------------------------

申博|网络平安巴士站【https://www.bus123.net/】

申博|网络平安巴士站是一个专注于网络平安、系统平安、互联网平安、信息平安,全新视界的互联网平安新媒体。。

----------------------------------------------

申博|网络安全巴士站【https://www.bus123.net/】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。

----------------------------------------------
----------------------------------------------

图6.HiddenMiner阻止移除设备管理权限的代码片段

Google经过历程下落设备***应用递次的权限,处理了Nougat及厥后Android操作系统中的安然题目,以便他们不再锁定屏幕(如果它是应用递次服从的一部分)。设备***将不再经过历程onDisableRequested()上下文照顾。这些计谋实在不新鲜:某些Android敲诈软件和信息争取软件(即Fobus)就是应用这些技术在设备中立足。

事实上,HiddenMiner是网络犯罪分子如何驾驭加密泉币挖掘浪潮的又一例证。关于用户和企业而言,这强化了实际移动安然的重要性:仅从官方应用市场下载,活期更新设备的操作系统,并在授予应用递次权限时更加慎重。

IoC
ANDROIDOS_HIDDENMINER Hashes (装配包 com.android.sesupdate):

· 7FBF758FEAF4D992B16B26AC582A4BDCFC1A36B6F29B52FC713A2B8537F54202

· E62C034516F28A01ABD1014D5D9CAA7E103AE42C4D38419C39BC9846538747FA

· 975A12756CA4F5E428704F7C553FD2B2CCC12F7965DD61C80BEC7BCBA08C1B37

· FD30B04CE4A732FB830A03C1A0AC0FBB0972C87307E515646239B0834156FA0E

· D21899BDAB5B1D786D8FC6C133385650A4CDA2B71A394B1F8DDC5C0EC39F1523

· BF9C41EE9D4A718F6B6958EC2E935395E79882B0EBEE545E2C84277DBA70A657

· B924A8EC7CFC1D5DDD9828467D7FC583FA6B35F441170D171C7A084FFD1799AD

· B40E2EEF49EDB271BBA2E5AD15C773E6EBDF4BFE5822AD93DDFE20847B8F9D67

· 419629E1644B0179F0AE837FE3F8D80C6E490A59838E485EEDA048BF8DF176D2

· 3039B2FF2E1EDB522FFADAEAED8B0CEE1519CFA56FABE7CE6F0F6A50816D026D

· 1C24C3AD27027E79ADD11D124B1366AE577F9C92CD3302BD26869825C90BF377

· 0156051E50544F9F725B75E32E0ACE888E53FBC79CAC50835B9A9EB39F0FCA84

HiddenMiner 门罗币相关钱包、矿池:

· pool[.]minergate[.]com

· monero[.]hashvault[.]pro

· monero[.]hashvault[.]pro

· supportxmr[.]com

· 49Bq2bFsvJFAe11SgAZQZjZRn6rE2CXH
z4tkoomgx4pZhkJVSUmUHT4ixRWdGX
8z2cgJeftiyTEK1U1DW7mEZS8E4dF5hkn

· 43QGgipcHvNLBX3nunZLwVQpF6Vbobm
GcQKzXzQ5xMfJgzfRBzfXcJHX1tUHcKP
m9bcjubrzKqTm69JbQSL4B3f6E3mNCbU

· 486GAqHxZnCYNcN2V1SEASSoWmifzXZ
NrDVgZayZXytJFbr1hSaXGyCbLGzwyX1h
eyhcLaps2ZvWFGs1AJKSjEKJNvsTq9q

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/monero-mining-hiddenminer-android-malware-can-potentially-cause-device-failure/如若转载,请申明原文所在: http://www.4hou.com/info/news/10991.html----------------------------------------------

申博|网络平安巴士站【https://www.bus123.net/】

申博|网络平安巴士站是一个专注于网络平安、系统平安、互联网平安、信息平安,全新视界的互联网平安新媒体。。

----------------------------------------------

申博|网络安全巴士站【https://www.bus123.net/】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。

网友评论

1条评论
  • 2020-07-08 00:00:37

    欧博网址开户www.cx11yj.cn欢迎进入欧博网址(Allbet Gaming),欧博网址开放会员注册、代理开户、电脑客户端下载、苹果安卓下载等业务。反正及格了