挖礦木馬盯上手機(jī) 360手機(jī)衛(wèi)士提醒用戶謹(jǐn)慎點(diǎn)擊不明鏈接 -- 飛象網(wǎng)

近日，“礦工”這一樸實(shí)無華的詞語開始走上“技術(shù)流”逆襲之路，要問為何？這一切都源于區(qū)塊鏈和虛擬貨幣的爆火。2017年以來，全球范圍內(nèi)的虛擬貨幣價(jià)格持續(xù)走高，它們中的“王者”，比特幣最高時(shí)單個(gè)幣價(jià)格逼近2萬美元，只要“挖礦”，就能獲得一個(gè)個(gè)價(jià)值巨大的代幣，也因此引發(fā)了一陣“挖礦熱”。然而，除了常規(guī)的通過礦機(jī)挖礦外，還有一些人萌生了借助挖礦木馬悶聲發(fā)大財(cái)?shù)南敕�，他們并不滿足于PC端撈錢，還向移動(dòng)端伸出了“魔爪”。

　　據(jù)360近期發(fā)布的《Android平臺(tái)挖礦木馬研究報(bào)告》稱：從2013年開始至2018年1月，360烽火實(shí)驗(yàn)室共捕獲Android平臺(tái)挖礦木馬1200余個(gè)；單獨(dú)挖礦同礦池挖礦相比，后者更受挖礦木馬作者青睞；不法分子利用多種技術(shù)手段，來隱匿自身挖礦行為，讓人防不勝防；挖礦木馬趨勢(shì)逐漸明朗，廣大用戶需小心下載應(yīng)用，謹(jǐn)慎點(diǎn)擊不明鏈接。

　　挖礦木馬使手機(jī)變挖礦“勞工” 單月木馬捕獲量近400個(gè)

　　電子加密貨幣因不受政府控制，再加上其具備匿名性、難追蹤的特性，所以經(jīng)常被用來進(jìn)行非法交易。此前全球范圍內(nèi)爆發(fā)的WannaCry勒索病毒，其斂財(cái)手段便是要求受害人繳納比特幣。交易在全球網(wǎng)絡(luò)中運(yùn)行，有特殊的隱秘性，加上不必經(jīng)過第三方金融機(jī)構(gòu)，因此得到越來越廣泛的應(yīng)用。

　　隨著電子加密貨幣價(jià)格的瘋狂上漲，挖礦木馬的攻擊事件也越來越頻繁，而不法分子的“作案”平臺(tái)也慢慢由PC端向移動(dòng)端轉(zhuǎn)移。2014年3月，首個(gè)手機(jī)挖礦木馬CoinKrypt由國(guó)外安全廠商曝光，但受限于移動(dòng)平臺(tái)技術(shù)、投入產(chǎn)出比過低等因素，手機(jī)挖礦木馬暫時(shí)歸于沉寂。

　　圖一：Android平臺(tái)挖礦木馬樣本數(shù)量歷史變化

　　隨著挖礦技術(shù)的成熟，挖礦木馬乘勢(shì)再度回歸大眾視野，并呈現(xiàn)出爆發(fā)式增長(zhǎng)的趨勢(shì)。據(jù)《報(bào)告》數(shù)據(jù)顯示，僅2018年1月，360烽火實(shí)驗(yàn)室便捕獲Android平臺(tái)挖礦木馬近400個(gè)，占全部Android平臺(tái)挖礦類木馬近三分之一。

　　值得注意的是，從第三方下載站點(diǎn)所捕獲的300多個(gè)挖礦木馬，依據(jù)網(wǎng)頁上標(biāo)識(shí)進(jìn)行估算，其APP總下載次數(shù)高達(dá)260萬余次。由此可見，在利益驅(qū)使下，未來挖礦木馬的數(shù)量仍將不斷增加，將成為威脅移動(dòng)安全環(huán)境的重大隱患。

　　“團(tuán)隊(duì)作戰(zhàn)”和“迂回作戰(zhàn)”更受礦工青睞

　　目前，挖礦方式分為單獨(dú)挖礦和礦池挖礦兩種。由于手機(jī)的計(jì)算能力相比于其他挖礦設(shè)備更是有限，因此，當(dāng)前Android平臺(tái)還未發(fā)現(xiàn)使用獨(dú)立挖礦手段來獲取電子貨幣的挖礦木馬，礦工一般都是組隊(duì)進(jìn)行挖礦�！皥F(tuán)隊(duì)作戰(zhàn)”下，礦池的總體性能便會(huì)變得十分強(qiáng)大，挖礦成功率將大幅提升，由此帶來的盈利也更為可觀。

　　圖二：礦池挖礦流程

　　礦池挖礦也分為一般礦池挖礦和前端礦池挖礦。其中，一般礦池挖礦更為人們熟知，是指直接利用CPU或GPU本身的高速浮點(diǎn)計(jì)算能力進(jìn)行挖礦工作。前端礦池挖礦相對(duì)來說，則更為“黑科技”一些，需要先借助于asm.js或webAssembly前端解析器中介或Html5新規(guī)范WebGL，再利用CPU或GPU來完成挖礦操作。由于使用方便，跨平臺(tái)且隱藏性較好等特點(diǎn)，前端礦池挖礦逐漸得到挖礦木馬作者的青睞。

　　木馬作者詭計(jì)多端 主攻“隱身術(shù)”

　　當(dāng)攻擊者利用挖礦木馬遠(yuǎn)程控制用戶手機(jī)之后，便可在用戶不知情的情況下，迫使手機(jī)持續(xù)在后臺(tái)挖掘電子貨幣為其牟利。而挖礦過程中會(huì)占用CPU或GPU資源，用戶手機(jī)便會(huì)出現(xiàn)卡頓、發(fā)熱或電量驟降等現(xiàn)象。此前，據(jù)媒體報(bào)道，名為“Loapi”挖礦惡意軟件，便曾因挖礦導(dǎo)致手機(jī)電池過度使用而膨脹，出現(xiàn)手機(jī)外殼撐裂的現(xiàn)象。此外，挖礦木馬作者還會(huì)利用檢測(cè)設(shè)備電量、檢測(cè)設(shè)備喚醒狀態(tài)、檢測(cè)設(shè)備充電狀態(tài)、設(shè)置不可見的頁面進(jìn)行挖礦、仿冒應(yīng)用下載器等手段，去 “遮掩罪行”。

　　圖三：挖礦木馬運(yùn)行檢測(cè)設(shè)備當(dāng)前的電量是否大于50%

　　針對(duì)這類問題，360手機(jī)衛(wèi)士安全專家提醒廣大用戶，對(duì)于未知來源的鏈接、郵件等內(nèi)容，切勿輕易點(diǎn)擊打開，以防挖礦木馬惡意軟件暗藏其中。用戶在下載某款應(yīng)用時(shí)，也應(yīng)當(dāng)選擇官方、正規(guī)應(yīng)用市場(chǎng)，以免中了“仿冒應(yīng)用”的招，避免導(dǎo)致手機(jī)淪為挖礦苦力。

　　挖礦木馬趨勢(shì)漸明朗 用戶安全“防衛(wèi)戰(zhàn)”已打響

　　據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）統(tǒng)計(jì)，截至2017年12月，我國(guó)手機(jī)網(wǎng)民規(guī)模達(dá)7.53億，較2016年底增加5734萬人。除了基數(shù)大之外，手機(jī)還具備攜帶方便、更替性強(qiáng)的特性，因此挖礦木馬作者也開始把注意力放到移動(dòng)端上。那么，在此基礎(chǔ)上，Android平臺(tái)挖礦木馬正逐漸朝著以下方向發(fā)展。

　　據(jù)《報(bào)告》分析結(jié)果顯示，在某APP下載網(wǎng)站中，其應(yīng)用內(nèi)部Coinhive挖取門羅幣的JS腳本已開始慢慢取代內(nèi)嵌廣告插件，其盈利模式也由廣告轉(zhuǎn)向挖礦。海盜灣作為全球最大的BT站點(diǎn)網(wǎng)站，就曾被爆出過“暗藏腳本利用訪客電腦挖礦”的新聞，為人們所詬病。

　　此外，挖礦幣種的選擇也在發(fā)生著變化，現(xiàn)階段的挖礦木馬主要以門羅幣作為挖掘目標(biāo)。門羅幣之所以能成為礦工首選，主要在于其具有更好的匿名性和挖礦算法。不僅如此，門羅幣還擁有“自適應(yīng)區(qū)塊大小限制”，它可自動(dòng)的根據(jù)交易量的多少來計(jì)算需要多大的區(qū)塊，不存在擴(kuò)容等問題。最為關(guān)鍵的是，門羅幣背靠強(qiáng)大的研發(fā)團(tuán)隊(duì)，其設(shè)計(jì)質(zhì)量及發(fā)展目標(biāo)都極為優(yōu)越。

　　盡管很多不法分子通過挖礦木馬已賺得盆滿缽溢，但他們并不只滿足于挖礦這類“費(fèi)力不討好”的工作，還將攻擊目標(biāo)轉(zhuǎn)向電子貨幣錢包。在Android平臺(tái)，PickBitPocket木馬就偽裝為比特幣錢包應(yīng)用，成功在Google Play上架。在引誘用戶下載后，不法分子就會(huì)將用戶付款地址替換成自己的比特幣地址，以此來盜取用戶賬戶下的比特幣。

　　

　　圖四：偽裝成比特幣錢包的PickBitPocket木馬

　　針對(duì)挖礦木馬所不斷演變的威脅，國(guó)內(nèi)外眾多安全廠商已經(jīng)開始積極應(yīng)對(duì)，為用戶推出防御措施。其中，360安全衛(wèi)士和360安全瀏覽器便率先推出了“挖礦木馬防護(hù)”功能，為用戶全面防御從各種渠道入侵的挖礦攻擊。在移動(dòng)端，移動(dòng)平臺(tái)受限于權(quán)限限制，并且App應(yīng)用又通常自己實(shí)現(xiàn)內(nèi)置瀏覽器功能，所以不能對(duì)挖礦木馬進(jìn)行徹底的攔截。在選擇應(yīng)用下載途徑時(shí)，應(yīng)該盡量選擇大型可信站點(diǎn)。不要輕易點(diǎn)擊來歷不明的鏈接，當(dāng)手機(jī)使用中異常發(fā)熱和運(yùn)行卡頓時(shí)，應(yīng)及時(shí)使用360手機(jī)衛(wèi)士等安全軟件進(jìn)行掃描檢測(cè)。