僵尸网络“挖矿”木马CoinKrypt分析报告

By | 2014年3月31日

安全公司Lookouts披露了一款名为CoinKrypt的恶意软件,其特点是可以利用Android智能机组成的僵尸网络,进行数字货币的“挖矿”工作。AVL移动安全团队随即对其进行了详细的分析。

背景概况

2009年面世的比特币(BitCoin),在2011年之前,最高也只值20美分;而在2013年里,其最高价格已经超过1000美元。可以想象,短短两三年时间,之前几乎一文不值的比特币究竟有多火热。随之全世界里层出不穷的发行了上百种数字货币,比特币、莱特币、泽塔币、便士币(外网)、隐形金条、红币、极点币、烧烤币、质数币等等。 比特币行情虽然因被多个国家封杀而降低,但其交易依然频繁,图为比特币和莱特币最新行情(2014-3-31)。 003 现今火热的虚拟数字货币基本都是基于比特币概念实现的,与大多数货币不同,比特币等虚拟货币不依靠特定货币机构发行,它依据特定算法,通过大量的计算产生。P2P的去中心化特性与算法本身可以确保无法通过大量制造比特币来人为操控币值,基于密码学的设计可以使比特币只能被真实的拥有者转移或支付,这同样确保了货币所有权与流通交易的匿名性。

比特币及其他数字货币的产生需要通过大量的计算,这一过程有着“挖矿”这样接地气的名字。随着时间的推移,数字货币的开采难度已经大幅增加,个人挖矿俨然不切实际,由此在pc平台下已经出现了大量数字货币窃取木马以及集群式僵尸网络挖矿木马,而在移动智能平台这还是头一遭。

样本分析

样本基本信息

Trojan/Android.Coinkrypt.a家族 样本列表: 006

样本主要行为

该类应用包含恶意代码,运行时会联网下载一个可执行文件,并调用其登录网络矿池、挖掘数字货币,给用户带来资费消耗和电量流失。 网络行为: 1、 socket通信,更新DOWNLOAD_LINK下载链接及POOL_LIST(网站矿池) 2、 下载一个可执行文件,调用其其登录网络矿池、挖掘数字货币

详细分析

1、 ConnectivityListener监听网络状态改变的广播,判断Main服务(“FlowCoin”进程)是否开启

2、 启动Main(“FlowCoin”)服务,写Coin配置文件 007 解密获取POOL_LIST /FreivprCebivqre –hey=uggc://91.234.105.69:9327 –hfrecnff=YoULkLThLHRReqcx9L63cvW1N4dW3gAtw1:k –guernqf=1 –ergevrf=5;
/ServiceProvider –url=http://91.234.105.69:9327 –userpass=LbHYxYGuYUEErdpk9Y63piJ1A4qJ3tNgj1:x –threads=1 –retries=5;

3、 socket联网91.234.104.125:5558,接收远程指令,更新DOWNLOAD_LINK或POOL_LIST 更新DOWNLOAD_LINK下载链接 008 接收”Update”指令,更新POOL_LIST(网站矿池) 009

4、 访问DOWNLOAD_LINK下载文件(默认为http://flowsurf.ogspy.net/miner.php),并调用执行该文件、进而登录POOL_LIST,开始挖矿。但分析时候这个地址已经不可访问,所以不能更进一步的分析。 下载文件写入到”/data/data/包名/files/ServiceProvider”文件中 010

下载完成后,调用StartMining方法,执行该文件登录POOL_LIST(网络矿池)、开始挖矿

011

查看域名ip,来自法国 012

虚拟货币挖矿流程:

各种虚拟货币挖矿流程大同小异,而且步骤都很少只有以下几个,值得注意是在矿池账号里需要设置好矿工账号,即挖矿软件所用来登陆的账号密码。样本里面解析出来的“/ServiceProvider –url=http://91.234.105.69:9327 –userpass=LbHYxYGuYUEErdpk9Y63piJ1A4qJ3tNgj1”,可能就是相应矿池的服务器和矿工账号信息。

005

至于虚拟货币的交易方式,是通过虚拟货币钱包软件来进行的,钱包客户端其实是一个P2P工具,里面会实时同步保存所有同一种货币的交易信息。同时钱包也是公钥密码系统,其负责转账的钱包地址是由比特币公钥进行哈希运算得出的(不可逆),而这个地址可以看作是银行卡号,矿池账号里也是通过设置钱包地址来与挖矿的产出挂钩。

小结

该木马风险并不高,不过因为数字货币的开采工作相当耗费资源,因此这个过程可能会迅速且严重地耗尽设备的电量以及大量发热。此外,定期进出的数据亦会很快吞噬完你的套餐内流量、而长时间的高频率运行亦可能损坏设备硬件。所以从设备状态很容易观察出是否感染此木马。

值得注意的是CoinKrypt针对的是莱特币(Litecoin)、狗币(Dogecoin)、以及卡斯币(Casinocoin),而不是相对更流行的比特币,这也是由于比特币开采更为困难收益更低,相对而言莱特币等币种更容易获益。即便如此,在智能手机上开采数字货币效率依然非常低。按照Lookout的数据,使用Nexus 4进行测试ndLTC的开采速度只有8Kh/s(每秒8千次哈希计算),大概需要连续挖矿7天,才能够开采出0.01枚莱特币——约合20美分。

不过在我们分析时候,样本内的URL很多以及不可访问,所以无法进行更细致的分析。此样本虽然危害并不高,但却体现了强烈的目的性和恶意代码发展的功能多样性。而僵尸网络技术,除了用来挖矿,还可有很多其他用处,如DDOS、代理跳板、云计算、窃取秘密等。

用户可以下载AVL移动安全团队AVL Pro对上述恶意应用进行查杀。

发表评论

电子邮件地址不会被公开。 必填项已用*标注