挖礦軟體也趕著春節湊熱鬧，最近又有一大波挖礦活動來襲！

在19個Google Play應用中發現的JavaScript加密腳本

coinhive是專門提供一個用來挖礦的JS引擎，在被攻擊網站上的網頁內嵌一段JS代碼，只要有人訪問被攻擊網站，挖礦程序就會在網民的電腦上工作，佔用大量的系統資源，導致CPU利用率突然提升，甚至100％！不但被攻擊的網站是受害者，普通網民也是受害者。

上周英國網路安全公司Sophos發布的一份13頁的安全報告。在這份報告里，Sophos的安全工程師發現了19款Android應用程序，該應用程序都是通過Google Play官方上傳的。

Sophos稱這些應用程序在用戶不知情的情況下，秘密地載入了一個可抑制腳本的實例。

對惡意應用程序的分析顯示，這些應用程序的幕後開發者其實就是同一個人或同一個組織，它們將Coinhive JavaScript挖掘代碼隱藏在這些應用程序或assets文件夾中的HTML文件中。

當用戶啟動應用程序時，隱藏的惡意代碼就會被執行，此時這些應用程序會打開了一個WebView (Android簡化版)瀏覽器實例。

在某些情況下，如果應用程序沒有打開瀏覽器窗口，WebView組件就隱藏在視圖中，而挖掘代碼在後台運行。

而在其它情況下，應用程序可能會偽裝成新聞閱讀器或教程查看器，在用戶使用這些應用程序時，瀏覽器內的JavaScript挖掘代碼就會利用應用程序的合法內容上運行。

其中一款應用目前已被下載10萬多次了

這些應用是在聖誕節前後上傳到Google Play的，目前Sophos的研究人員已將所有應用報告給了Google。在編寫本文時，這19個應用都已從官方商店被刪除了。

Sophos報告的第7頁詳細列出了這19個含有JavaScript加密腳本的應用程序，用戶可以查看列表並檢查一下是否安裝了其中的任何一個應用程序。

Sophos還發現了另外有10個應用程序正在執行秘密挖掘活動

在報告的第10頁上，Sophos還列出了另一些惡意應用程序的列表，但這些列表中的惡意軟體並沒有載入Coinhive JavaScript挖礦腳本，而是嵌入了用於挖掘比特幣和萊特幣的cpuminer庫。

Sophos把載入的這個挖礦軟體稱為CoinMiner，並表示它已被嵌入了通過第三方Android應用程序商店coandroid.ru網站提供的10個應用程序中。

其實CoinMiner在2017年就被發現了，它是一款無文件的惡意軟體，它會利用WMI(Windows Management Instrumentation)在感染的系統上運行命令。專家稱，這款軟體很難檢測，並且會使用永恆之藍進行傳播，這款軟體會利用WMI做到在無文件的條件下駐足系統。

不斷迭代的挖礦技術

卡巴斯基實驗室的最新發現

儘管最近關於非法加密貨幣挖掘的文章已經泛濫了，但這並不代表犯罪分子縮手縮腳了，相反他們更加肆無忌憚了，就在2017年年底，卡巴斯基實驗室發現了一款安卓手機上的惡意軟體Trojan.AndroidOS.Loapi，用戶點擊橫幅廣告並下載假冒反病毒應用或色情應用後，即中了Loapi病毒的圈套，在安裝惡意軟體後，它會向使用者要求系統管理員許可權，如果遭到拒絕，通知就會循環在屏幕上出現，直到用戶不堪其擾點下「確定」按鈕。另外，Loapi還具備一個防「降權」的功能，一旦檢測到使用者試圖在設置界面取消它的管理員許可權時，Loapi會關閉手機的設置窗口。這意味著，用戶的智能手機一旦感染了Loapi，則設備就可能會被永久性破壞。

Malwarebytes的最新發現

其實黑客們大可不必專門在用戶的設備上安裝特定的惡意軟體來挖礦，近日安全廠商Malwarebytes就發現有一則惡意廣告，可將Android用戶導向挖礦網站，並趁著使用者解決CAPTCHA圖像驗證問題之際，讓Android裝置火力全開地挖礦。

此惡意廣告其實早在去年11月就被發現了，黑客是將惡意廣告置於合法網站中，然後將用戶誘導至挖礦網站，當Android用戶連至挖礦網站時，首頁會跳出警告訊息，宣稱使用者裝置出現可疑的瀏覽行為，要求使用者解決CAPTCHA問題以證明自己並非機器人。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！