趋势科技在本周三表示,他们的研究团队发现了一款新型的Android恶意软件,被设计用于利用受感染设备的CPU计算能力来挖掘门罗币。

根据研究人员的说法,这款名为“HiddenMiner(由趋势科技检测为ANDROIDOS_HIDDENMINER)”的恶意软件是在第三方应用商店发现的,大部分受害者都位于中国和印度。

另外,由于HiddenMiner的挖矿代码中没有设置开关、控制器或优化器,这意味着一旦它开始执行挖矿进程,便会一直持续下去,直到设备电量耗尽为止。鉴于HiddenMiner的这种特性,它很可能会导致受感染设备最终因过热而损坏。

研究人员表示,这种特性与之前被报道的能够引起受感染设备电池膨胀的Android恶意软件Loapi十分相似。事实上,HiddenMiner还使用了与Loapi类似的“锁屏”技术(在受害者尝试删除恶意软件时锁定设备屏幕)。

在进一步的调查中研究人员还发现了与HiddenMiner相关联的采矿池和钱包地址。根据数据显示,HiddenMiner背后的运营团队目前已经挖掘到了26枚硬币(约价值5400美元)。

研究人员指出,HiddenMiner伪装成了合法的Google Play商店应用更新程序,显示为“com.google.android.provider”,并使用了与Google Play商店相同的图标。

它会要求受害者以设备管理员身份来激活它,这个窗口会一直持续弹出,直到受害者点击激活按钮为止。一旦获得许可,HiddenMiner将在后台开始挖矿操作。

HiddenMiner还使用了多种技术来将保持隐蔽性,例如清空应用程序标签并在安装后使用透明图标。一旦受害者以设备管理员身份将其激活,它将通过调用 “setComponentEnableSetting()”从应用程序启动器隐藏自己。

另外,HiddenMiner还具备了反分析能力,可绕过大多数安全产品和自动分析程序的检测。它还会通过利用发布在Github上的Android模拟器检测器来检查自身是否置身于模拟器上运行。

研究人员还表示,对于运行Android 6.0及更早版本操作系统的设备来说,想要删除HiddenMiner并不容易。因为,一旦HiddenMiner检测到受害者正在尝试删除其管理员权限,它就会锁定受感染设备的屏幕,使得受害者无法进行任何操作。

在这种情况下,唯一办法是以安全模式重新启动设备,然后删除HiddenMiner的管理员权限以及受HiddenMiner感染的应用程序。

值得指出的是,这种情况并不会出现在使用运行Nougat(Android 7.0)和更高版本的设备上,因为谷歌通过减少设备管理员应用程序的权限解决了这一问题。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。