Sonciwall Threats Reserch Team 은 가상화폐 채굴 기능이 숨겨진 안드로이드 앱들이 증가하는 것을 확인했습니다.
이러한 앱들은 게임, 음악 또는 비디오 앱과 같은 합법적인 앱으로 위장하고 있지만 백그라운드에서 감염된 피해자의 하드웨어 리소스를 사용하여 가상화폐를 채굴합니다.

 

가상화폐 채굴을 위해 앱은 인터넷에 액세스 할 수 있는 권한이 필요 합니다. 인터넷 액세스 권한은 대부분의 안드로이드 앱에서 사용 되는 매우 일반적인 권한입니다. 따라서 인터넷 액세스 권한만으로는 멀웨어를 판단하기 어렵습니다.

 

가상화폐 채굴 스크립트는 <Engine.html> 과 같이 Assets 폴더에 있습니다. 다음과 같은 스크립트는 채굴을 시작하고 중지하기 위해 사용됩니다.

 

멀웨어는 감염된 장치에서 CoinHivelntentService,  암호화된 채굴을 모니터링,  시작  및 중지하는 서비스를 시작합니다.

 

 

 

멀웨어 설치 프로그램

 

앱 실행 후 표시되는 링크들은 더 많은 악성 앱을 설치하기 위한 리다이렉트 입니다.

 

 

 

위의 자료와 같이 이 사이트는 악의적인 사이트 입니다.

 

가상화폐 채굴 멀웨어의 일반적인 구조는 다음과 같습니다.
The code structure
Certificate thumbprint/serial number
Miner service - CoinHiveIntentService
Hardcoded domain - hxxp://lp.androidapk.world/?appid=

 

가상화폐 채굴 멀웨어 샘플은 다음과 같습니다.

  • com.gamehivecorp.kicktheboss2r.hack.apk
  • com.bennettracingsimulations.dirttrackin.hack
  • com.atari.mobile.rctc.hack
  • com.astragon.cs2014.hack
  • com.aspyr.swkotor.hack
  • com.and.games505.TerrariaPaid.hack
  • com.amazon.mShop.android.shopping.hack
  • com.activision.boz.hack
  • com.abtnprojects.ambatana.hack

Sonicwall Capture Labs는 다음과 같은 서명을 통해 이러한 위협에 대한 보호 기능을 제공하고 있습니다.

  • GAV: AndroidOS.MoneroMiner.MNR (Trojan)
  • GAV: AndroidOS.CoinHack.MNR (Trojan)

 

 

Posted by 로버무트