手機惡意程式紛紛轉型 「挖礦」搵快錢至上

虛擬貨幣 (又稱加密貨幣) 的價值急升,令它經常出現在新聞報導之上,同時也瞬間吸引到不同界別人士的注意,當中包括網絡犯罪份子。儘管虛擬貨幣在以前已經被用作加密勒索繳交「贖金」之用,但是網絡罪犯並沒把自己局限在伺服器和電腦,近期更有遷移至流動裝置 (以 Android 為主) 的趨勢,而且「搵快錢」的手法更是五花八門。

冒充受歡迎應用程式
網絡罪犯經常散播惡意程式冒充的受歡迎應用程式或遊戲,事實上該應用程式或遊戲只會顯示廣告和暗地裡「挖礦」,冒充的對象包括 Instagram、Netflix、Bitmoji 等應用程式,網絡罪犯在散播時通常都會宣稱應該程式已「破解」 (Hacked),並透過網上討論板或其他第三方平台發佈。

Web 架構的挖礦工具
現時有不少以 Web 架構形式讓用戶更方便製作流動應用程式,包括挖礦工具,使用這種形式製作的應用程式,主要是包含了專為挖礦而設的 JS 腳本 (例如 CoinHive 腳本),卡巴斯基實驗室的研究人員找到很多類似的挖礦工具都使用 Thunkable 和 Cordova 架構,這些應用程式通常在第三方平台上散播,雖然有一款曾經出現在 Google 的官方平台,但是在通報之後已經移除。

其中一款採用 Andromo 架構製作的挖礦惡意程式,表面上看起來是一個購物折扣的收集應用程式,但是它只會讀取挖礦的網頁,而且並沒有進行任何掩飾,而用戶預期的購物折扣當然不會出現。也有一款採用 B4A 架構的惡意程式訛稱「為兒童挖礦,同樣曾經在 Google 官方平台上出現過,自稱目標是為慈善而挖礦,但是並沒有列明任何收入的去向,幸好之後已經被官方平台刪除。

在實用的應用程式中加入挖礦工具
有一些網絡罪犯會採取把碼的編碼,用戶已安裝的常見應用程式之內,當用戶使用該應用程式的時候便會開始挖礦,而且用戶瀏覽任何網頁也會執行挖碼的代碼,以前曾經出現過類似的方法,當時網絡罪犯的目標是盜取用戶的密碼。

觀看足球應用程式的挖礦工具
根據 KSN 的統計,最多人接觸到挖礦工具的途徑都與足球有關,例如是一些播放足球比賽的應用程式,而背後也會同時間暗地裡進行挖礦 (沒有免費午餐),而且根據紀錄,在 Google 官方平台上該類型的應用程式最高下載量達到 10 萬次。

流動廣告點擊工具加入挖礦工具
另一款常見的惡意程式也加入挖礦工能,它就是廣告點擊工具,除了點擊廣告和登記 WAP 服務之後,為了賺取更高利潤而加入挖礦功能。此外,也有這類型的惡意程式訛稱為實用的應用程式的套件,引誘用戶下載和安裝實際只求挖礦,而且木馬程式會要求取得管理員權限,令用戶難以把它刪除,而且在刪除時更顯示「可能失去所有資料」的警告字句威嚇用戶。

挖礦工具也會防止高溫燃燒
其中一款被發現的惡意程式擁有一項有趣功能,它完全沒有合法應用程式的功能,但是使用多重加密保護編碼和止被分析,同時發現該惡意程式會監察裝置的電池和溫度,避免在挖礦時產生高溫而發生火災。

採用流動裝置挖礦有數個缺點,首先是性能與桌面電腦有一段距離,直接影響到挖礦的「收成」,其次是流動裝置容易發熱,令用戶更容易察覺,最後是流動裝置的電量消耗更快,同樣影響到收成。不過網絡罪犯依然積極發展「流動挖礦」的市場,似乎是瞄準了大部份流動裝置都欠缺防護,是數量能夠彌補效率的龐大「市場」。

資料來源:Threat Post