360发布安卓平台挖矿木马报告：单月木马捕获量近400个

　　近日，“矿工”这一朴实无华的词语开始走上“技术流”逆袭之路，要问为何?这一切都源于区块链和虚拟货币的爆火。2017年以来，全球范围内的虚拟货币价格持续走高，它们中的“王者”，比特币最高时单个币价格逼近2万美元，只要“挖矿”，就能获得一个个价值巨大的代币，也因此引发了一阵“挖矿热”。然而，除了常规的通过矿机挖矿外，还有一些人萌生了借助挖矿木马闷声发大财的想法，他们并不满足于PC端捞钱，还向移动端伸出了“魔爪”。

　　据360近期发布的《Android平台挖矿木马研究报告》称：从2013年开始至2018年1月，360烽火实验室共捕获Android平台挖矿木马1200余个;单独挖矿同矿池挖矿相比，后者更受挖矿木马作者青睐;不法分子利用多种技术手段，来隐匿自身挖矿行为，让人防不胜防;挖矿木马趋势逐渐明朗，广大用户需小心下载应用，谨慎点击不明链接。

　　挖矿木马使手机变挖矿“劳工” 单月木马捕获量近400个

　　电子加密货币因不受政府控制，再加上其具备匿名性、难追踪的特性，所以经常被用来进行非法交易。此前全球范围内爆发的WannaCry勒索病毒，其敛财手段便是要求受害人缴纳比特币。交易在全球网络中运行，有特殊的隐秘性，加上不必经过第三方金融机构，因此得到越来越广泛的应用。

　　随着电子加密货币价格的疯狂上涨，挖矿木马的攻击事件也越来越频繁，而不法分子的“作案”平台也慢慢由PC端向移动端转移。2014年3月，首个手机挖矿木马CoinKrypt由国外安全厂商曝光，但受限于移动平台技术、投入产出比过低等因素，手机挖矿木马暂时归于沉寂。

　　图一：Android平台挖矿木马样本数量历史变化

　　随着挖矿技术的成熟，挖矿木马乘势再度回归大众视野，并呈现出爆发式增长的趋势。据《报告》数据显示，仅2018年1月，360烽火实验室便捕获Android平台挖矿木马近400个，占全部Android平台挖矿类木马近三分之一。

　　值得注意的是，从第三方下载站点所捕获的300多个挖矿木马，依据网页上标识进行估算，其APP总下载次数高达260万余次。由此可见，在利益驱使下，未来挖矿木马的数量仍将不断增加，将成为威胁移动安全环境的重大隐患。

　　“团队作战”和“迂回作战”更受矿工青睐

　　目前，挖矿方式分为单独挖矿和矿池挖矿两种。由于手机的计算能力相比于其他挖矿设备更是有限，因此，当前Android平台还未发现使用独立挖矿手段来获取电子货币的挖矿木马，矿工一般都是组队进行挖矿。“团队作战”下，矿池的总体性能便会变得十分强大，挖矿成功率将大幅提升，由此带来的盈利也更为可观。

　　图二：矿池挖矿流程

　　矿池挖矿也分为一般矿池挖矿和前端矿池挖矿。其中，一般矿池挖矿更为人们熟知，是指直接利用CPU或GPU本身的高速浮点计算能力进行挖矿工作。前端矿池挖矿相对来说，则更为“黑科技”一些，需要先借助于asm.js或webAssembly前端解析器中介或Html5新规范WebGL，再利用CPU或GPU来完成挖矿操作。由于使用方便，跨平台且隐藏性较好等特点，前端矿池挖矿逐渐得到挖矿木马作者的青睐。

　　木马作者诡计多端 主攻“隐身术”

　　当攻击者利用挖矿木马远程控制用户手机之后，便可在用户不知情的情况下，迫使手机持续在后台挖掘电子货币为其牟利。而挖矿过程中会占用CPU或GPU资源，用户手机便会出现卡顿、发热或电量骤降等现象。此前，据媒体报道，名为“Loapi”挖矿恶意软件，便曾因挖矿导致手机电池过度使用而膨胀，出现手机外壳撑裂的现象。此外，挖矿木马作者还会利用检测设备电量、检测设备唤醒状态、检测设备充电状态、设置不可见的页面进行挖矿、仿冒应用下载器等手段，去 “遮掩罪行”。

　　图三：挖矿木马运行检测设备当前的电量是否大于50%

　　针对这类问题，360手机卫士安全专家提醒广大用户，对于未知来源的链接、邮件等内容，切勿轻易点击打开，以防挖矿木马恶意软件暗藏其中。用户在下载某款应用时，也应当选择官方、正规应用市场，以免中了“仿冒应用”的招，避免导致手机沦为挖矿苦力。

　　挖矿木马趋势渐明朗  用户安全“防卫战”已打响

　　据中国互联网络信息中心(CNNIC)统计，截至2017年12月，我国手机网民规模达7.53亿，较2016年底增加5734万人。除了基数大之外，手机还具备携带方便、更替性强的特性，因此挖矿木马作者也开始把注意力放到移动端上。那么，在此基础上，Android平台挖矿木马正逐渐朝着以下方向发展。

　　据《报告》分析结果显示，在某APP下载网站中，其应用内部Coinhive挖取门罗币的JS脚本已开始慢慢取代内嵌广告插件，其盈利模式也由广告转向挖矿。海盗湾作为全球最大的BT站点网站，就曾被爆出过“暗藏脚本利用访客电脑挖矿”的新闻，为人们所诟病。

　　此外，挖矿币种的选择也在发生着变化，现阶段的挖矿木马主要以门罗币作为挖掘目标。门罗币之所以能成为矿工首选，主要在于其具有更好的匿名性和挖矿算法。不仅如此，门罗币还拥有“自适应区块大小限制”，它可自动的根据交易量的多少来计算需要多大的区块，不存在扩容等问题。最为关键的是，门罗币背靠强大的研发团队，其设计质量及发展目标都极为优越。

　　尽管很多不法分子通过挖矿木马已赚得盆满钵溢，但他们并不只满足于挖矿这类“费力不讨好”的工作，还将攻击目标转向电子货币钱包。在Android平台，PickBitPocket木马就伪装为比特币钱包应用，成功在Google Play上架。在引诱用户下载后，不法分子就会将用户付款地址替换成自己的比特币地址，以此来盗取用户账户下的比特币。

　　图四：伪装成比特币钱包的PickBitPocket木马

　　针对挖矿木马所不断演变的威胁，国内外众多安全厂商已经开始积极应对，为用户推出防御措施。其中，360安全卫士和360安全浏览器便率先推出了“挖矿木马防护”功能，为用户全面防御从各种渠道入侵的挖矿攻击。在移动端，移动平台受限于权限限制，并且App应用又通常自己实现内置浏览器功能，所以不能对挖矿木马进行彻底的拦截。在选择应用下载途径时，应该尽量选择大型可信站点。不要轻易点击来历不明的链接，当手机使用中异常发热和运行卡顿时，应及时使用360手机卫士等安全软件进行扫描检测。