【Android病毒分析报告】--CoinMiner “掘金僵尸”手机变“挖矿机”

近日百度安全实验室查杀了一批“掘金僵尸”手机木马，该木马通过控制大量手机构建“掘金僵尸网络”，感染该木马的手机即成该“掘金僵尸网络”的肉鸡。黑客通过僵尸网络，远程控制用户手机持续在后台挖掘数字货币（包括莱特币“Litecoin”、狗币“Dogecoin”、以及卡斯币“Casinocoin”等），挖掘货币过程会持续占用CPU、GPU资源，造成手机电量过快耗尽，使得被感染的“肉鸡”成为了帮黑客赚钱的工具，感染的用户越多，病毒制造者牟利越快。 内容详情：1、从整体来看，该类恶意程序的运作逻辑如下： 

 2、“掘金僵尸”会判断CPU是否含有NEON特性，并在含有NEON特性CPU的手机上执行针对NEON优化的代码，能够大幅度提高挖矿效率，以达到利益最大化。关于NEON技术：NEON可加速多媒体和信号处理算法（如视频编码/解码、2D/3D图形、游戏、音频和语音处理、图像处理技术），含有NEON特性的CPU，在单个简单DSP 算法可实现更大的性能提升（4倍-8倍）。 代码结构：├── com│   └── google│       ├── ads│       │  ├── BootReceiver│       │  ├── CoinJNI│       │  ├── ConnectivityAlarm│       │  ├── ConnectivityListener│       │  ├── ConnectivityManage│       │  ├── Constants│       │  ├── Debug│       │  ├── FileManage│       │  ├── Krypt│       │  ├── Main│       │  ├── PreferenceManagement│       │  ├── ServiceAlarm│       │  ├── Talk│       │  └── Utils 代码片段：1、该程序后台服务启动后，检查CPU型号，采用不同的so文件执行“挖矿”指令：




2、该程序还会在后台启动定时器，每15分钟检查手机的唤醒状态，若是手机正处于空闲状态，就会开始后台“挖矿”。
3、“挖矿”过程的运行会占用CPU或GPU资源，造成屏幕卡顿，容易被用户察觉，为了不被发现，该程序会在用户唤醒手机后立即停止“挖矿”：

 
4、下载可执行文件，后台执行“挖矿”指令，以下是部分解密后的网址和指令： http://fl****rf.o**py.net/miner.php /lib***miner.so–a**o=scrypt -o http://f**w.lo***to.me:9555 -OD7N6U92Apqwh1AmB4RyZXsVNKHsLQhGLrA:x -r 20 -t 1 -B -q /Se***********er–url=http://91.***.***.69:9327 –us****ss=LbHYxYGuYUEErdpk9Y63piJ1A4qJ3tNgj1:x–th***ds=1 –re***es=5