区块链时代的手机黑手：木马肆虐，电脑、手机秒变矿机！

随着2017年电子货币价格飙升，越来越多的个人和机构开始拥有电子资产，随之而来的资产安全问题也愈演愈烈。尽管进入2018年伴随币价暴跌，电子资产规模缩水，但是相关资产被盗事件却没有随之迅速降温。

近日，美国网络安全公司CiferTrace发布电子货币反洗钱（AML）报告称，在2018年前9个月，黑客入侵交易所和交易平台所窃取的电子货币价值飙升至9.27亿美元，与2017年的2.66亿美元相比，同比高出近250%。而一些从2000万到6000万美元不等的小额盗窃，在2018年第三季度，总价值达到了1.73亿美元。

今年1-9月电子货币被盗额飙升至9.27亿美元

电子货币盗窃额同比2017年暴增250%

而在交易所这样的服务端安全问题愈加严重的同时，距离个人用户更近的C端，即PC端和手机端的电子货币安全问题也愈加严峻，其中代表性的就是恶意挖矿木马数量的急剧上升。

据此前卡巴斯基实验室（Kaspersky Labs）发布的一份网络安全报告称，恶意木马的挖矿劫持发生频率依然在不断增长。根据统计数据，今年二季度此类危害较一季度增长了86%，二季度发现的最新恶意挖矿木马样本超过250万。与之相比，2017年最后一个季度的样本总量约为40万个，今年一季度数量超过290万个，增长629%，而这一数字在2018年第二季度进一步上升，数量超过540万，继续增长86%。 挖矿木马已发展成为2018年传播最广的网络病毒，成为首要安全威胁。 由于挖矿木马的控制者可以直接通过出售挖到的电子货币牟利，除非区块链相关的电子货币泡沫彻底破灭，否则挖矿木马软件都将是最直接的黑产赢利模式，因此挖矿木马的影响力空前高涨，已经成为恶意木马软件中最流行的类别。根据安全公司Adguard的数据统计，全球约有5亿台电脑曾因木马侵入而成为“矿机”，而Symantec发布的《2018互联网安全威胁报告》指出，过去一年里，计算机端检测到的“挖矿”恶意程序数量暴涨85倍。挖矿劫持已波及世界各地。

恶意挖矿木马软件数量持续飙升

既然挖矿木马如此猖獗， 它到底是何许“人”也？

通常，获得最新电子货币的“挖矿”行为需要矿机程序运用计算机的算力进行大量运算，由此获取电子货币。由于硬件性能的限制，电子货币玩家需要大量计算机进行运算以获得一定数量的电子货币。因此，一些不法分子通过各种手段将矿机程序植入受害者的计算机中，利用受害者计算机的算力进行挖矿，从而获取利益。这类在用户不知情的情况下植入用户计算机进行挖矿的矿机程序就是挖矿木马。

用户电脑一旦被他人利用进行挖矿，就会导致计算机CPU的占有率飙升，电脑主机会长期处在高负荷运转状态，给电脑造成严重的时间、系统性能和功耗损失，出现卡顿、进程缓慢、发热耗电快等情况，不但影响用户对电脑的正常使用，更会严重影响硬件的使用寿命，显卡、主板和内存甚至可能提前报废。

那么，挖矿木马是如何进入用户电脑的呢？

目前来看，挖矿木马这样的恶意软件通常通过伪装成具有正常功能的客户端、网页、入侵控制企业服务器三种形式进入电脑，其影响也正从个人用户扩展到社会更深层面。

据报道，印度政府官方网站便已成为恶意挖矿木马劫持的主要目标，印度当地多个地区广受信任的市政门户网站都被恶意挖矿木马劫持。黑客通常将恶意代码植入这些政府网站，使得网站访问者在不知情的情况下被利用其设备挖掘电子货币。

黑客攻击政府网站进行挖矿木马传播的原因在于这些网站的流量大且信任度高。据统计，印度当地已经有119家网站被植入Coinhive恶意代码，进行门罗币盗挖行为。2017年四季度至2018年一季度，当地因电子货币挖矿木马而受影响的企业占比从13%上升至28%，尤其在2018年一季度，恶意挖矿木马活动以629%的惊人比例上升。

而在最近，研究人员发现一款隐藏在弹出的虚假Adobe Flash更新背后的恶意挖矿木马，其危害更大。该木马的开发者复制了官方正版Adobe Flash更新升级安装的弹框通知，用户下载后的确能够升级为最新版的Adobe Flash，但却在不知不觉中安装了一个“XMRig电子加密货币矿机”，这个样本将连接到xmr-eu1.nanopool.org的一个矿池，在用户不知情的情况下，使用几乎全部的计算机CPU来盗挖门罗币（XMR）。

挖矿木马隐藏在虚假Adobe Flash更新中

挖矿木马占用全部CPU盗挖门罗币

挖矿木马不仅在国外横行，中国也成为恶意挖矿的受害国家。

就在今年4月，山东省潍坊市公安局破获了一起特大非法控制计算机信息系统案，一举抓获了“tlMiner”挖矿木马黑产公司。该公司为大连当地高新技术企业，为非法牟利搭建木马平台，招募发展下级代理商近3500个，通过网吧渠道、吃鸡外挂、盗版视频软件传播投放木马，非法控制用户电脑终端389万台，并在其中100余万台电脑主机静默安装“挖矿”程序，进行电子货币挖矿、强制广告等非法业务，2015年以来合计挖掘DGB（极特币）、HSR（红烧肉币）、XMR（门罗币）、SHR（超级现金币）、BCD（比特币钻石）、SIA（云储币）等各类电子货币2600余万枚，非法获利达1500余万元。

犯罪嫌疑人被抓获归案

办案人员查获的部分作案工具

恶意挖矿木马针对的目标不仅仅是电脑，其他设备也已陆陆续续地成为受害者。如今大量的互联网路由器、视频录制设备、物联网设备已被网络犯罪分子视为非常有吸引力的电子加密货币挖掘平台。

此前便有报道，巴西数十万台路由器被恶意挖矿木马侵入，此后不久印度又爆出有多达3万台设备感染恶意挖矿木马CoinHive，被用来盗挖门罗币。而在过去的一个月中，印度受感染路由器数量翻了一番。受感染路由器最多的前三大城市增长率为500％。

印度3万台设备感染恶意挖矿木马

受感染路由器最多的前三大城市增长率为500％

而当电脑、路由器等设备都已处于挖矿木马阴影之下的同时， 手机正成为挖矿木马的最新目标 。与PC平台一样，各类木马程序也是Android平台的重要信息安全隐患。受电子货币价格快速飙升影响，曾在2014年短暂爆发过的Android平台挖矿木马再度死灰复燃。从2013年开始至2018年，共捕获Android平台挖矿木马1200余个。其中，工具类APP、下载器类APP及壁纸类APP是此类木马最常见伪装形式。

中国和韩国的安卓手机就曾经被ADB.Miner这样的挖矿木马利用盗挖门罗币。而截至到今年9月份，已发生过多起Google Play官方应用市场应用包含挖矿恶意代码的事件，根据Sophoslabs发布的一份报告显示，在Google Play商店中发布的至少25个Android应用程序中包含有恶意挖矿木马，这些应用程序已经被下载和安装超过12万次。不光是安卓平台，据安全厂商Check Point统计，针对iOS平台的恶意挖矿木马攻击也增加了近400%。攻击者通过挖矿木马远程控制用户手机，在用户不知情的情况下，使手机持续在后台挖掘电子货币来为其牟利。

就手机用户来说，这些像藤蔓一样到处肆虐的挖矿木马，对于我们本身的危害似乎还只是其挖矿过程中对手机资源的占用，以及引发的系统运行缓慢卡顿的现象。但是，特别在安卓手机系统中，更大的威胁正在袭来，当你正在使用各类电子钱包、交易所App的时候，当你向某个地址进行转账或者充币行为的时候，可曾想到这些App可能被破解，你的币流入的恐怕不是你看到的地址？！

（作者：链安区块链安全，内容来自链得得内容开放平台“得得号”；本文仅代表作者观点，不代表链得得官方立场）