JavaScript 密币挖矿脚本出现在谷歌应用商店的19款 app 中
翻译:360代码卫士团队
加密劫持似乎永无尽头。如果你已厌倦阅读又一个攻击者背着用户部署 Coinhive 浏览器脚本挖掘门罗币的案例,那么你可能会对这篇文章感兴趣。
英国网络安全公司 Sophos 上周公布一份长达13页的报告 (https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophos-coinminer-and-other-malicious-cryptominers-tpna.pdf?la=en) 指出,工程师们发现了19款安卓 app 被上传到了谷歌官方应用商店中。该公司表示,这些 app 在用户不知情的情况下正在加载一个 Coinhive 脚本实例。
分析这些恶意 app 后发现,app 的作者们(或是同一个人或同一伙组织)将 Coinhive JavaScript 挖矿代码隐藏在了app 的 /assets 文件夹中的 HTML 文件中。
当用户启动这些 app 且 app 打开一个 WebView 浏览器实例时,恶意代码就会执行。在某些案例中,如果 app 未验证是否打开一个浏览器窗口,WebView 组件就会隐藏不可见,恶意代码在后台运行。
而在有些案例中,如果 app 是新闻阅读器或者教程查看器,那么 Coinhive 浏览器 JavaScript 挖矿代码就会在用户使用 app 时和 app的合法内容一切运行。
Sophos 公司表示,19款 app 是由四个开发者账户公布的。多数 app 的下载量仅有100到500次,但 app(extreme.action.wwe.wrestin)的下载量介于10万次至50万次之间。
这些 app是在圣诞节前后被上传到谷歌应用商店中的,研究人员已将将所有 app 告知谷歌,后者已将这些 app 删除。
Sophos 在报告中提到了所有的这19款 app 名称,用户可查看对照是否已安装。
报告中还提到了另外一个恶意 app 列表,不过这些 app 并没有加载 Coinhive JavaScript挖矿机,而是将原生 cpuminer 库内嵌在设备中挖掘比特币和莱特币。
Sophos 将这款恶意软件命名为 CoinMiner,并表示发现它内嵌在由第三方安卓app 商店 coandroid.ru 网站公布的10款 app 中。
虽然很多新闻网站都在公布关于非法密币挖掘的内容,但用户应该知道,在自己的智能手机上挖掘密币可能会对设备造成永久性损害,正如卡巴斯基实验室的研究人员在上个月发现的 Loapi 安卓恶意软件所证明的那样。
但是,并非用户不安装恶意 app 就不会遭受影响。昨天,Malwarebytes 公司的研究人员宣布称发现一个恶意广告活动针对的是利用安卓移动浏览器的互联网用户。
这次恶意广告活动使用广告中隐藏的恶意代码在用户试图解决一个 CAPTCHA 字段时将用户重定向到犯罪分子挖掘门罗币的网站。用户不必安装 app,只是网上冲浪就能受影响。
虽然桌面计算机可能会经受住带有密币挖矿的硬件压力,但移动设备如智能手机和平板设备更加脆弱,而且会遭受永久性损害,尤其是设备电池可能会过热且无法运转。
关联阅读
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/security/javascript-cryptomining-scripts-discovered-in-19-google-play-apps/