android平台挖矿木马研究报告

1、淘宝“Vivian研报”首次收集整理“Vivian研报”获取最告及后续更新服务请在淘宝搜索或直接用淘宝扫描下方二维码摘要²挖矿木马就是在用户不知情的情况下利用其加密货币的应用程序。的计算能力来为者获取电子²电子加密货币是一种性的虚拟货币，由于不受、相对、难以追踪的特性，电子加密货币常被用来进行，也成为工具、或隐匿所得的工具。²2014 年 3 月首个 Android 平台挖矿木马被。²从 2013 年开始至 2018 年 1 月，360 烽火共捕获 Android 平台挖矿木马 1200 余个，其中仅 2018 年 1 月 Android 平台挖矿木马接

2、近 400 个。²从 Android 平台挖矿木马应用类型看，工具类（20%）、器类（17%）、壁纸类（14%）是最常的应用类型。²从样本来源来看，除了被的在play 中发现的十多个挖矿木马外，我们在第站点捕获了 300 多个挖矿木马，总次数高达 260。²从来看，据 Adguard 数据显示，2017 年近 1时间内在 Alexa 排行前十万的网站上，约有 220 多个在用户打开主页时无告知的利用用户计算机进行挖矿，影响人数多达 5 亿。大多是以时间较长的站点。门户，文件站，站和站等这类相对²Android 平台发现的挖矿木马选择的币种主要有（BitC

3、oin）、币(Litecoin)、狗币(Dogecoin)、币(Casinocoin) 以及币（Monero）这五种。²挖矿方式有单独挖矿和矿池挖矿两种，Android 平台挖矿木马主要采用矿池挖矿。²Android 平台挖矿木马技术原理从代码上看，主要分为使用开源的矿池代码库进行挖矿和使用浏览器JavaScript挖矿。²挖矿木马的技术冒应用器。检测电量、唤醒状态、充电状态、设置不可见页面以及仿²应用模式由转向挖矿币成为挖矿币种首选以及目标向电子货币钱包转移成为 Android 平台挖矿木马的趋势。²目前挖矿木马的防御措施，PC 平台已经具备

4、防御能力，移动平台由于权限底防御。不能彻²移动平台挖矿受限于电池容量和处理器能力，但电子加密货币正在快速增长，现有货币增值并出现新的货币币种，挖矿最终会变得更有利可图。²国外这种全新的用。模式，还处在起步阶段，还需要的和监管，避免被利：挖矿木马、电子货币目录第一章ANDROID 平台挖矿木马. 2什么是挖矿木马2电子加密货币2挖矿木马历史演变3一、二、三、第二章ANDROID 平台挖矿木马现状4规模和影响4目标币种6挖矿方式及分配7挖矿7矿池挖矿8一、二、三、（一）（二）第三章ANDROID 平台挖矿木马技术原理9挖矿技术原理9使用开源的矿池代码库进行挖矿9一、（一）（二）

5、 二、（一）（二）（三）（四）（五）使用浏览器JAVASCRIPT挖矿10挖矿木马的技术11检测检测检测电量11唤醒状态12充电状态12设置不可见的页面进行挖矿12仿冒应用器13第四章ANDROID 平台挖矿木马趋势14一、二、三、应用模式由转向挖矿14币成为挖矿币种首选15目标向电子货币钱包转移15第五章挖矿木马的防御措施17一、二、基于 PC 平台的防御策略17基于移动端的缓解策略17第六章总结19一、二、发展前景19风险19附录一：参考资料211第一章Android 平台挖矿木马一、什么是挖矿木马挖矿（Mining），是获取比特币等电子加密货币的勘探方式的昵称。由于其工作原理与开采矿物十

6、分相似，因而得名。挖矿木马就是在用户不知情的情况下利用其加密货币的应用程序。的计算能力来为者获取电子二、电子加密货币电子加密货币是一种性的虚拟货币。它不依靠任何法定货币机构，更不受央行管控。在全球中运行，有特殊的隐秘性，加上不必经过第金融机构，因此得到越来越广泛的应用。由于不受易，也成为、相对工具、或隐匿、难以追踪的特性，电子加密货币常被用来进行交所得的工具。以 WannaCry 为代表的勒索，都采用比特币为支付工具。2009 年，比特币成为第一个去中心化的电子加密货币，也是目前知名度与市场总值最高的加密货币。比特币在 2013 年 4 月2018 年 1 月价格变化趋势12017 年比特币的

7、价格上涨了 1500%，最高时单个比特币价格逼近 2 万。且随着比特币价格的疯狂上涨，挖矿木马的也越来越频繁。2三、挖矿木马历史演变挖矿木马最早是 2013 年在 PC 平台上被发现，而首个挖矿木马 CoinKrypt2最早被国外安全厂商在 2014 年 3 月。挖矿木马经过一阵沉寂后，随着电子加密货币价格的一路走高且势必是未来作者又重新将目标转向了挖矿的趋势之一。挖矿木马的也重回视野，2014 年 03 月 Android.Coinkrypt，Android 平台上首个挖矿木马。2014 年 04 月 Android. BadLepricon3，在Play 上发现挖矿木马。2014 年 05

8、 月 Android. Widdit4，首个使用 Android 挖矿 SDK 的挖矿木马。2017 年 10 月 Android.JsMiner5，首个加载JavaScript 的挖矿木马。2017 年 10 月 Android.CpuMiner6，首个使用 cpuminer 库的挖矿木马。2017 年 12 月 Android.PickBitPocket7，成比特币钱包的程序。2017 年 12 月 Android.Loapi8，拥有复杂模块化架构的挖矿木马。2018 年 1 月 Android.Hackword9，首个使用 Coinhive 安卓 SDK 挖矿的木马。3第二章Androi

9、d 平台挖矿木马现状一、规模和影响从 2013 年开始至 2018 年 1 月，360 烽火共捕获 Android 平台挖矿木马 1200 余个，其中仅 2018 年 1 月 Android 平台挖矿木马接近 400 个，占全部 Android 平台挖矿类木马近三分之一。2014 年 Android 挖矿木马经过短暂的爆发后，于 2015，2016 年逐渐归于平静。主要原因是受到当时移动平台技术等限制，以及电子货币价格影响，木马作者的投入和产出比不高。但随着 2017 年年底电子货币价格的一路高涨，挖矿技术的成熟，再次得到木马作者的目标，挖矿木马在也呈爆发式增长。Android 平台挖矿木马，

10、统计发现其中工具类（20%）、成各类应用器类（17%）、壁纸类（14%）是最常的应用类型。4play 中发现的十多个挖矿木马外，我们在第从样本来源来看，除了被的在站点捕获了 300 多个挖矿木马，根据其网页上的标识，估算出这个上的 APP总次数高达 260。第站点下的挖矿木马从来看，据 Adguard 数据显示10， 2017 年近 1内在 Alexa 排行前十万的网站上，约有 220 多个达 5 亿。在用户打开主页时无告知的利用用户计算机进行挖矿，影响人数多Adguard 近一的数据5这些来自美国、俄罗斯、中国、巴西以及中国等多个。主要占比而这部分大多是以门户，文件站，站和站等这类相对时间较

11、长的站点。挖矿分类情况二、目标币种挖矿木马在币种选择上是随着币种的挖掘难度和币种相对价格等因素而变化。目前在Android 平台发现的挖矿木马选择的币种主要有（BitCoin）币(Litecoin)、狗币(Dogecoin)、币(Casinocoin) 以及币（Monero）这五种。6币种优劣势对比三、挖矿方式及分配挖矿方式有单独挖矿和矿池挖矿两种。下面以比特币为例来说明两种挖矿方式的区别。（一）挖矿挖矿是指使用全归个人所有。计算机当前拥有的计算能力去参与比特币的挖掘，获取到的新区块的挖矿流程比特币平均每十分钟产生一个区块，而参与比特币挖掘的用户数量非常庞大，挖矿可能一整年也无法抢到一个区块。

12、且的计算能力相比于其他挖矿更是有限，当前Android 平台还未发现使用挖矿来获取电子货币的挖矿木马。7（二）矿池挖矿矿工是参与比特币勘探竞争的成员的昵称。而矿池是一个通过特定算法而设计的服务器，所有连接到矿池服务器的用户，会组队进行挖矿。个人的性能虽然渺小，但是成千上万的人进行组队挖矿，总体性能就会变得十分强大，在这种情况，挖矿的率会大大提升，一旦矿池中的队伍了一个区块，那么所有队伍中的人会根据每个人贡献的计算能力进行分红。矿池的开发者一般会对每个用户收取一定手续费，但由于这种矿，而不是单独挖矿。让大家更得获得比特币，大部分矿工都会选择矿池挖矿池挖矿流程矿池挖矿也分为一般矿池挖矿和前端矿池挖

13、矿。1.一般矿池挖矿：一般矿池挖矿直接利用 CPU 或 GPU 本身的高速浮点计算能力进行挖矿工作。由使用 C或者其他语言构造的挖矿程序进行 CPU 或 GPU 计算得到算值进行分红，并收取 10%以下的矿池手续费。值。矿池根据产生的算2.前端矿池挖矿：前端挖矿利用 asm.js 或 webAssembly 前端器中介在浏览器端使用用户的 CPU完成挖矿或者利用 Html5CPU 或 GPU 计算得到算范 WebGL 利用浏览器完成 GPU 挖矿操作。由浏览者产生的值。前端矿池（如 Coinhive11）会收取 30%的矿池手续费。由于使用方便，跨平台且隐藏性较好等特点，前端矿池挖矿逐渐得到挖

14、矿木马作者的青睐。8第三章Android 平台挖矿木马技术原理一、挖矿技术原理在 Android 平台上者通过挖矿木马子货币来为其牟利。者为追求用户的，挖矿方式通常都选择使用矿池来进行挖矿。，在用户不知情的情况下，使持续在挖掘电者通过挖矿木马赚取的流程而在代码层上的表现形式为，嵌入开源的矿池代码库进行挖矿和使用矿池提供的浏览器JavaScript进行挖矿。（一）使用开源的矿池代码库进行挖矿挖矿木马 CpuMiner 使用开源的挖矿项目 cpuminer 来开采比特币和币：开源项目9步骤一：的挖矿的广播和服务等组件，在 Android Manifest 里务 MiningService。广播和挖

15、矿的服步骤二：嵌入的挖矿的库文件步骤三：设置挖矿算法、矿池地址、矿工账户信息等基本信息开始挖矿。步骤四：执行 cpuminer 进行挖矿开始挖矿（二）使用浏览器 JavaScript挖矿2017 年 9 月，国外著名的 BT 站点 Pirate Bay（海盗湾）12尝试在网页中植入 JavaScript挖矿，但由于兼容性，部分用户的 CPU 出现了 100%的疯狂占用，承认他们有意借此来增加部分营收。由于浏览器JavaScript 挖矿配置灵活简单，具有全平台化等特点，受到越来越多的挖矿木马的青睐，同时也导致了利用 JavaScript挖矿的安全愈发频繁。10通过 Coinhive 提供的 J

16、avaScript API二、挖矿木马的技术挖矿的过程运行会占用 CPU 或 GPU、发热或电量骤降等现象，造成容易被用户感知。为了隐匿自身挖矿的行为，挖矿木矿行为。通过一些技术来隐藏或挖（一）检测电量挖矿木马运行会导致电池电量明显下降，为保证在多数情况下正常运行而不被用户察觉，会选择在电池电量高于 50%时才运行挖矿的代码。检测当前的电量是否大于 50%11（二）检测唤醒状态挖矿木检查屏幕的唤醒状态，当处于唤醒状态，当处于锁屏状态开始执行，避免用户在与交互时感知到挖矿带来的等影响。检测屏幕唤醒状态（三）检测充电状态在充电时会有足够的电量和发热的想象。在充电时运行挖矿木马避免用户察觉挖矿带来的

17、电量下降和发热等现象。通过 MiningService 服务连接 Pickaxe 矿池来挖掘比特币（四）设置不可见的页面进行挖矿挖矿木马通过设置 android:visibility 为 invisible 属性，达到不可见的 Webview 页面加载效果从而使用 JavaScript进行挖矿，隐藏自身的恶行挖矿行为。设置不可见的 webview 页面12（五）仿冒应用器挖矿木马通过仿冒热门应用骗取用户执行挖矿，仅仅是提供了一个应用的，实际只是应用的。器，启动后就开始仿冒应用器13第四章Android 平台挖矿木马趋势Android 平台挖矿木马的演变很大程度上受到 PC 上的挖矿木马影响，通

18、过持续关注挖矿木马的，我们发现 Android 平台挖矿木马正朝着三个方向发展。一、应用模式由转向挖矿的样本发现，在其早期的应用中内嵌了通过分析来自某个 APP插件，软件运行时会联网来容加入 Coinhive 挖取样本请求币的 JS的。，而在近期当同一个请求时，返回的内同一进行分析后，发现早期与近期返回内容对比上的中都包含了 Coinhive 提供的 Android SDK对该example。14二、币成为挖矿币种首选对于期内获得较大者而言，选择现阶段币种价格相对较高且运算力要求适中的数字货币是其短的保障。早期挖矿木马以比特币（BitCoin）、(Casinocoin)为主。币(Litecoi

19、n)、狗币(Dogecoin)、以及币而随着比特币挖度的提高，新型币种不断出现，比特币已经不在是挖矿木马唯一的选择。要以币（Monero）首发于 2014 年 4 月，时间相对较短，现阶段的挖矿木马主币作为挖掘目标，主要在于币相对其他电子加密货币拥有多种明显的优势：1）币具有更好的性。币在中，不涉及提供钱包地址。对方通过钱包地址来查看你的钱包资产情况。2）币有更好的挖矿算法。它并不依赖于 ASIC，使用任何 CPU 或 GPU 都可以完成，这就意味着即使普通的计算机用户也能够参与到至可以利用剩余的计算机能力来挖矿币挖矿中来。甚3）币拥有“自适应区块大小限制”。大小，这意味着，它可以自动的根据币

20、从一开始就设置了自适应的区块量的多少来计算需要多大的区块。因此币从设计上就不像比特币的扩容等。4）币背后的研发团队的设计质量发展目标都很优越。互联网上有许多优秀的开源币挖矿项目，拥有众多贡献者。三、由于目标向电子货币钱包转移电子货币钱包能直接获取大量的，PC 上已出现多起电子货币钱包的木马，通过盗取电子货币私钥或者在付款时更改账户地址等货币。实现盗取他人账户下的电子15成比特币钱包的 PickBitPocket 木马而在Android 平台也发现了类似的，PickBitPocket 木马成比特币钱包应用，且上架在Play。其在用户付款时将付款地址替换成者的比特币地址，以此来盗取用户账户下的比特

21、币。对于电子货币钱包应用本身的漏洞和风险，并没有引起足够的重视程度。比特币地址相当于帐号，私钥相当于开启这个帐号的。且通过私钥可以得知其比特币地址，并能对该地址下的比特币进行转账，也就是说获得比特币私钥就拥有了该私钥和地址下的比特币的完全权。我们在分析中发现部分电子货币钱包甚至将私钥未加密的备份在安全，还需要进一步的增强。SD 卡，对于私钥的备份、16第五章挖矿木马的防御措施一、基于 PC 平台的防御策略挖矿木马肆虐现状，360 安全卫士和 360 安全浏览器率先推出“挖矿木马防护”功能，用户只要开启该功能，就能全面防御从各种的挖矿。浏览网页时，会像屏蔽一样，自动为用户挖矿;及使用程序时，会实

22、时各类挖矿代码的运行并弹窗，确保用户 CPU不被消耗占用，保障用户正常的上网体验。360 安全卫士推出“挖矿木马防护”功能二、基于移动端的缓解策略与 PC 平台相比，移动平台受限于权限限制，并且 App 应用又通常实现内置浏览器功能，所以不能对挖矿木马进行彻底的。对已有Root 权限的但是，对于普通用户这种对没有 Root 权限的，可以设置 Iptables 对挖矿进行通信滞后性；实现功能。操作难度高且更新，禁用浏览器 JavaScript 特性可以起到一定的防护作用。网页的挖矿行为，并不能对应用内嵌的浏览器功能进这种方式只能行有效的防护。使用浏览器17设置浏览器JavaScript另外，我们

23、建议用户结合上述的同时，应当提高个人安全意识，培养良好的使用手机习惯。在选择应用途径时，应该尽量选择大型站点。不要轻易点击来历不明的链接，当使用中异常发热和运行时，应及时使用安全进行扫描检测。18第六章总结一、发展前景挖矿、勒索成为 2017 年两大全球性的安全话题，不仅仅由于影响广泛，后果恶劣，更是由于这两者都出现了从 PC 向移动平台蔓延的趋势。相比 PC 端，移动终端普及率高，携带方便，更替性强，因而安全的影响速度更快，更广。，移动平台在挖矿能力上受限于电池容量和处理器能力，并且在挖矿过程中会导致、发热、电池骤降，甚至出现平台。物理损坏，就目前来看移动平台还不是一个可持续性生产电子货币的

24、开发者和站主一直在寻找能够替代、捐赠的新模式。以比特币、币为代表的电子加密货币正在快速增长，现有货币增值并出现新的货币币种，挖矿最终会变得更有利可图。据了解，去年 9 月份某位站主做了一次将替换成使用 Coinhive挖掘币的尝试，他在 60 个小时内了 0.00947币（Monero，代号 XMR）按照当时的价格约合$0.89，平均每天 0.36的要少 45 倍。现在，比当时条幅和文本来看币（XMR）价格的一路走高，若以当前价格来计算，在相同量的情况下挖矿带来的是几乎等价于甚至高于的。统计数据13二、风险尽管当前国外电子货币发展势头较猛，但是不可忽视的是方便灵活的全平台化的挖矿脚本，也让沉寂多年的移动平台挖矿木马注入了新的“活力”。这种全新的模式，还处在起步阶段，还需要的和监管。正如最初的出现，初衷是为了在不影响体验的情况下，又能达到开发者、主和用户的共赢的目的。但，不仅严重影响用户体产业的发