雖然數位貨幣相較於半年前已經沒那麼火紅,但變換成現金的匯率還是相當誘人,因此非法的挖礦程式依舊層出不窮!前陣子趨勢科技就公佈他們發現到最新的 Android 挖礦程式 ANDROIDOS_HIDDENMINER ,使用者不小心安裝之後,它會隱藏在背景不斷佔用你 Android 行動裝置的 CPU 進行挖礦,直到電池沒電或是發熱當機為止,所以說如果你覺得最近手機電池很快就沒電,搞不好就是有挖礦程式在作祟。
根據趨勢科技公佈的報告,ANDROIDOS_HIDDENMINER(簡稱 HiddenMiner)會假冒成 Google Play 的更新程式 (com.google.android.provider) 來誘導使用者安裝,而且畫面上方也使用 Google 圖示,讓人很容易誤以為真的是 Google Play 更新檔,警覺性不強的人就會因此受騙,按下右下方的 Active 啟用與授權功能,這也代表著,HiddenMiner 可偷偷使用你的 CPU 來挖礦:
為了不讓使用者發現,HiddenMiner 還有不少的隱藏技巧,像是安裝之後它會先利用空白標籤,隱藏在所有應用程式中,也會藉由裝置管理員的權限,來呼叫 setComponentEnableSetting() 函式把自己從首頁 (Launcher) 畫面移除:
它也具備反模擬器的能力,可躲避偵測與自動化分析,透過 Github 上的模擬器偵測程式來檢查自己是否在模擬器當中執行。此外,在舊版的 Android 中,如果使用者發現到 HiddenMiner 後,想手動從裝置管理員刪除,它還會利用 Android 系統的一個漏洞,把螢幕畫面鎖住,讓你沒辦法移除。好消息是,這漏洞後續 Android 更新中已經修正。所以說,如果你真的不小心安裝到這挖礦程式,又無法手動移除,記得先更新 Android 系統:
HiddenMiner 的程式碼中並沒有任何調節、切換開關等設計,因此只要受感染,就會全力使用裝置來開採門羅幣,進而導致裝置電池很快就沒電,甚至過熱、當機的情形發生。
趨勢科技表示,HiddenMiner 會出現在第三方應用程式商店。雖然目前主要受害的使用者分布於印度和中國,但未來若擴散到其他國家也不令人意外,他們也發現到歹徒已經從其中一個錢包,提領了 26 個門羅幣 (XMR),約合 5,360 美元 (依據 2018 年 3 月 26 日匯率)。意味著他們相當積極地利用受感染裝置來開採虛擬貨幣。
HiddenMiner 不算是新型的挖礦程式,曾爆出的 Loapi 就跟它有點類似,相關手法也跟 Fobus、DoubleHidden 很像。總而言之,如果你發現到最近手機很快沒電且沒用時也常發熱,那就很有可能是有病毒、挖礦程式隱藏在背景作怪,可以自行檢查看看。