安卓挖矿脚本来袭：Coinhive快出来！有口锅需要你背一下

Posted 2021-04-29 黑客视界

“ 用 指尖 改变世界 ”

通过在网站中恶意部署JS挖矿脚本来将网站访问者设备转变成门罗币矿工的恶意活动在过去的一周一直在持续。现在，我们已经看到攻击者已经将能够部署挖矿脚本的Android应用程序上传到了Google Play商店。同时，一个由几百个使用WordPress的网站构成的挖矿僵尸网络也首次被发现。

虽然，提供JS挖矿脚本的供应商有很多，但Coinhive仍然是攻击者的首选。

我们通过在“WhoRunsCoinhive服务(www.whorunscoinhive.com)”中输入网址来检测该网站是否在运行Coinhive JS挖矿脚本。

Coinhive在安卓应用程序中发现

大多数计算机用户已经安装并运行着阻止这些脚本的广告拦截器或防病毒软件。但对于大多数移动设备用户来说，仍然不会去定期使用防病毒软件，当然也不会在移动浏览器中安装广告拦截器。

这就是为什么趋势科技仅发现了两个能够部署Coinhive挖矿脚本的应用程序，但却是如此的令人担忧的原因。

现在，这两个应用程序已经从Google Play商店中被删除。这两个应用程序命名为“Recitiamo Santo Rosario Free”和“SafetyNet Wireless App”，都会在WebView浏览器中部署Coinhive挖矿脚本。

当这两个应用程序处于开启状态时，脚本就会运行，占用手机CPU资源进行门罗币挖掘。

问题是应用程序并没有请求执行如此操作的权限，并且这种隐藏的挖掘行为会导致设备过热、电池寿命缩短、性能下降等等。

一个由WordPress站点组成的挖矿僵尸网络正在形成

除了恶意应用程序，在上周，像Sucuri和Wordfence这样的WordPress WAF提供商都拉响了警报。这些网站都被秘密地部署了挖矿脚本，特别是Coinhive的变种。

最严重的情况发生在Sucuri身上，500多个WordPress站点上被部署了相同的脚本。

脚本将Firefox浏览器用户重定向到典型的 “ 字体包丢失(font pack missing)”恶意软件分发页面，而Chrome浏览器用户收到了严重混淆的Coinhive矿工变种。

其他加密货币挖掘威胁

趋势科技还在官方Google Play商店中发现了另一款高清汽车壁纸应用程序(Car Wallpaper HD: mercedes, ferrari, bmw and audi)，在其库中隐藏了一个加密货币挖掘脚本。与本文中提到的前两个应用程序不同，此应用程序没有将挖矿脚本部署在浏览器中，而是部署在不需要打开浏览器就能工作的CpuMiner库中。

此外，微软还警告说，新的浏览器加密货币挖掘域于185. 14.28.10。

本文由 黑客视界 综合网络整理，图片源自网络；转载请注明“转自黑客视界”，并附上链接。

点击阅读原文了解更多