分类威胁预警下的文章

dqriot 发布于 01月24, 2018

Android平台挖矿木马研究报告

360烽火实验室

摘 要

  • 手机挖矿木马就是在用户不知情的情况下利用其手机的计算能力来为攻击者获取电子加密货币的应用程序。
  • 电子加密货币是一种匿名性的虚拟货币,由于不受政府控制、相对匿名、难以追踪的特性,电子加密货币常被用来进行非法交易,也成为犯罪工具、或隐匿犯罪所得的工具。
  • 2014年3月首个Android平台挖矿木马被曝光。
  • 从2013年开始至2018年1月,360烽火实验室共捕获Android平台挖矿木马1200余个,其中仅2018年1月Android平台挖矿木马接近400个。
  • 从Android平台挖矿木马伪装应用类型看,工具类(20%)、下载器类(17%)、壁纸类(14%)是最常伪装的应用类型。
  • 从样本来源来看,除了被曝光的在Google play中发现的十多个挖矿木马外,我们在第三方下载站点捕获了300多个挖矿木马,总下载次数高达260万余次。
  • 从网站来看,据Adguard数据显示,2017年近1个月时间内在Alexa排行前十万的网站上,约有220多个网站在用户打开主页时无告知的利用用户计算机进行挖矿,影响人数多达5亿。大多是以视频门户网站,文件分享站,色情网站和新闻媒体站等这类相对访问时间较长的站点。
  • Android平台发现的挖矿木马选择的币种主要有(BitCoin)、莱特币(Litecoin)、狗币(Dogecoin)、卡斯币(Casinocoin) 以及门罗币(Monero)这五种。
  • 挖矿方式有单独挖矿和矿池挖矿两种,Android平台挖矿木马主要采用矿池挖矿。
  • Android平台挖矿木马技术原理从代码上看,主要分为使用开源的矿池代码库进行挖矿和使用浏览器JavaScript脚本挖矿。
  • 挖矿木马的技术手段包括检测设备电量、唤醒状态、充电状态、设置不可见页面以及仿冒应用下载器。
  • 应用盈利模式由广告转向挖矿,门罗币成为挖矿币种首选以及攻击目标向电子货币钱包转移成为Android平台挖矿木马的趋势。
  • 目前挖矿木马的防御措施,PC平台已经具备防御能力,移动平台由于权限控制不能彻底防御。
  • 移动平台挖矿受限于电池容量和处理器能力,但电子加密货币正在快速增长,现有货币增值并出现新的货币币种,挖矿最终会变得更有利可图。
  • 国外这种全新的盈利模式,还处在起步阶段,还需要更多的控制和监管,避免被恶意利用。

关键词:手机挖矿木马、电子货币

阅读全文 »

dqriot 发布于 08月29, 2017

关于“WireX Botnet”事件Android样本分析报告

360烽火实验室

WireX家族病毒基本上都会在内部硬编码存放两个URL地址(部分变种的URL经过加密),变种A在内部硬编码了如下两个URL

http://u.*******.store/?utm_source=tfikztteuic

http://g.*******.store/?utm_source=tfikztteuic

这些URL地址是病毒的C&C Server的地址,用于返回要攻击的网站的信息,不同之处在于,对这两个URL返回的信息,处理方式不同,执行的恶意行为也不同。

阅读全文 »

dqriot 发布于 03月22, 2017

手机勒索软件又现新手段

360烽火实验室

手机勒索软件是一种通过锁住用户移动设备,使用户无法正常使用设备,并以此胁迫用户支付解锁费用的恶意软件。这类大多伪装成系统类、色情类以及各式外挂类等软件诱导用户安装。尽管它们的锁屏样式、方式以及解锁方式不尽相同,但这类软件的目的却是一样的——谋财。

阅读全文 »

dqriot 发布于 12月08, 2014

正规APP存泄隐私风险,360呼吁开发者注意安全规范

360互联网安全中心近期研究发现一些正规的手机软件在读取用户的通讯录和短信内容后,会进行明文上传或简单可逆加密上传,这会导致手机用户个人隐私信息存在泄露风险。360呼吁正规手机APP开发者要重视和规范软件开发行为,对用户手机中的隐私数据做到“非必要不上传,上传即加密”,以防被中间人劫持攻击造成用户的隐私泄露。

阅读全文 »