挖矿木马针对手机 360手机卫士提醒用户谨慎点击未知链接

最近，朴实无华的“矿工”二字开始走上“技术流”逆袭之路。为什么？这一切都源于区块链和虚拟货币的爆炸式增长。2017年以来，全球虚拟货币价格持续上涨。其中“王者”，比特币单币价格最高接近2万美元，只要“挖矿”，就可以获得超值代币，还引发了“挖矿热” . 但是，除了常规的通过矿机挖矿外，也有人产生了借助挖矿木马发家致富的想法。他们不满足于在PC端赚钱新出手机挖矿app，也将“魔爪”伸向了移动端。.

据360近日发布的《安卓平台挖矿木马研究报告》显示：2013年至2018年1月，360烽火实验室共捕获安卓平台挖矿木马1200余个；单独挖矿类似于在矿池中挖矿。后者更受挖矿木马作者的青睐；不法分子利用多种技术手段隐藏自己的挖矿行为，防不胜防；挖矿木马的趋势逐渐明朗，用户下载应用时要小心谨慎，点击未知链接。

挖矿木马让手机变身挖矿“劳工”，一个月内查获近400个木马

电子加密货币经常被用于非法交易，因为它们不受政府控制，加上其匿名和不可追踪的特性。之前在全球爆发的WannaCry勒索病毒，其赚钱方式是要求受害者支付比特币。交易在全球网络中运行，具有特殊的隐私性，无需经过第三方金融机构，因此应用越来越广泛。

随着电子加密货币价格的疯狂上涨，挖矿木马攻击越来越频繁，犯罪分子的“犯罪”平台也逐渐从PC端转移到了移动端。2014年3月，首个手机挖矿木马CoinKrypt被国外安全厂商曝光，但由于移动平台技术、投入产出比低等因素，手机挖矿木马暂时沉寂。

图1：Android平台挖矿木马样本数量历史变化

随着挖矿技术的成熟，挖矿木马再次回到大众视野，呈现爆发式增长的趋势。《报告》数据显示，仅2018年1月，360烽火实验室就捕获了近400个Android平台挖矿木马，占全部Android平台挖矿木马的近三分之一。

值得注意的是，根据网页上的识别，从第三方下载站点捕获的挖矿木马超过300个，APP下载总次数高达260万次。可见，在利益驱动下，未来挖矿木马数量将不断增加，将成为威胁移动安全环境的一大隐患。

“团队运营”和“周边运营”更受矿工青睐

目前有两种挖矿方式：单人挖矿和矿池挖矿。由于手机的算力相对于其他挖矿设备来说是有限的，所以目前安卓平台还没有发现任何使用独立挖矿方式获取电子货币的挖矿木马，矿工普遍组队挖矿。在“团战”下，矿池的整体表现会变得非常强劲，挖矿成功率会大大提高，由此产生的利润也会更加可观。

图 2：矿池挖矿过程

矿池挖矿也分为普通矿池挖矿和前端矿池挖矿。其中，通用矿池挖矿更为人所熟知，它是指直接利用 CPU 或 GPU 本身的高速浮点计算能力进行挖矿工作。前端矿池挖矿相对来说更“黑科技”。需要使用 asm.js 或 webAssembly 前端解析器中介或 Html5 新规范 WebGL，然后使用 CPU 或 GPU 完成挖矿操作。由于使用方便、跨平台、隐蔽性好，前端矿池挖矿逐渐受到挖矿木马作者的青睐。

特洛伊木马作者狡猾，重在“隐身”

当攻击者利用挖矿木马远程控制用户手机时，可以在用户不知情的情况下，强制手机在后台继续挖矿电子货币以获取利润。挖矿过程会占用CPU或GPU资源，用户手机会出现卡顿、发热或掉电等情况。此前，据媒体报道，名为“Loapi”的挖矿恶意软件因过度使用挖矿导致手机电池膨胀，手机外壳破裂。此外，挖矿木马的作者还会使用检测设备电量、检测设备唤醒状态、检测设备充电状态、设置隐形页面进行挖矿、模仿挖矿等手段。应用程序下载器到“

图3：挖矿木马运行检测设备当前电量是否大于50%

针对此类问题，360手机卫士安全专家提醒广大用户不要点击打开来历不明的链接、邮件等，以防止挖掘木马的隐藏恶意软件。用户在下载应用时，也要选择官方正规的应用市场，避免“仿冒应用”的伎俩，避免将手机变成挖矿苦力。

挖矿木马趋势日趋明朗，用户安全“保卫战”打响

据中国互联网络信息中心（CNNIC）统计，截至2017年12月，我国移动互联网用户规模达到7.53亿新出手机挖矿app，比2016年底增加5734万。基数大，手机还具有便携性强、替换性强的特点，所以挖矿木马的作者也开始关注移动端。那么，在此基础上，Android平台挖矿木马正逐步向以下方向发展。

根据《报告》的分析结果，在某APP下载网站上，Coinhive在应用内挖门罗币的JS脚本已经开始逐步取代内置广告插件，盈利模式也发生了转变从广告到挖矿。作为全球最大的BT网站，海盗湾曾因“隐藏脚本使用访客电脑挖矿”的消息而饱受诟病。

此外，挖矿币种的选择也在发生变化，目前挖矿木马主要以门罗币为挖矿目标。门罗币之所以成为矿工的首选，主要是因为它更好的匿名性和挖矿算法。不仅如此，门罗币还有“自适应区块大小限制”，可以根据交易量自动计算出需要多少块，不存在扩容等问题。最重要的是，门罗有强大的研发团队做后盾，设计质量和开发目标都极其优越。

虽然很多不法分子通过挖矿木马赚了很多钱，但他们不仅满足于挖矿的“感恩”工作，还将攻击目标转向了电子货币钱包。在Android平台上，PickBitPocket木马伪装成比特币钱包应用，在Google Play上成功上线。不法分子在诱使用户下载后，将用户的支付地址替换为自己的比特币地址，从而盗取用户账户下的比特币。

图 4：伪装成比特币钱包的 PickBitPocket 木马

针对不断演变的挖矿木马威胁，国内外众多安全厂商开始积极应对，为用户推出防御措施。其中，360安全卫士和360安全浏览器率先推出“挖矿木马防护”功能，为用户提供全方位的挖矿攻击防御。在移动端，移动平台受限于权限限制，App应用通常实现自己内置的浏览器功能，因此无法完全拦截挖矿木马。选择应用下载路径时，应尽量选择大型可信站点。不要轻易点击来历不明的链接。当手机在使用过程中异常发热、运行卡顿时，