Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보Google PlayStore에서 유포되는 코인하이브 (Coinhive)
작성일 2017-10-31 조회 1123

 

 

 

Google PlayStore에서 CoinHive Miner 앱이 발견되었습니다. Miner기능을 숨긴 유형의 어플리케이션이 발견된 것은 처음이 아니지만, 채굴을 위한 별도의 설치나 관리자 권한 없이 JavaScript를 활용한 Miner이기 때문에 조금 더 이슈가 되고 있습니다.

 

모바일 단말 사용하여 실제로 의미있는 양을 채굴했는지는 알 수 없으나 악성코드가 실행되는 동안은 베터리 소모량 증가, 성능 저하 등 모바일 단말에 미치는 영향이 존재하는 것은 확실합니다.

 

 

[Application Information]

 

파일명: Recitiamo Santo Rosario Free
SHA25622581e7e76a09d404d093ab755888743b4c908518c47af66225e2da991d112f0

 

파일명SafetyNet Wireless App
SHA256440cc9913d623ed42563e90eec352da9438a9fdac331017af2ab9b87a5eee4af
 

 

 

[그림] Coinhive Miner Application (trendmicro)

 

 

 

Coinhive Miner를 호출하는 스크립트는 아래와 같습니다. 해당 스크립트를 HTML, Application 등 삽입하면 실행한 단말에서 Miner 행위를 진행하며, JavaScript 내 삽입된 Site-Key에 저장됩니다. 또한, Coinhive는 사용자 인터페이스가 존재하지 않기 때문에 사용자에게 채굴 사항을 알리지 않고 진행 가능합니다.

 

 

[그림] CoinHive Script (CoinHive)

 

 

안드로이드 앱에 삽입되어 있는 Coinhive Script 입니다. 어플리케이션 실행 시 해당 동작이 진행되며, 사용자의 휴대용 단말에서 채굴이 이루어지게 됩니다. 

 

[그림] 악성 앱에서 동작하는 Script

 

 

Coinhive Miner 앱을 실행하면 해당 모바일 단말에서 채굴을 시작하게 됩니다.

 

[그림] 악성코드 실행 화면

 

 

실행 시 'ws[Random 3-digits].coinhive.com'으로 접속하여 본연의 임무를 수행합니다.

 

[그림] Coinhive Miner C2

 

 

 

간단하다. 악성코드 삽입 방법이 너무나도 간단해서 포스팅할 것조차 없이 간단합니다.

 

별도의 설치 없이 JavaScript로 타인의 단말을 사용할 수 있다는 것이 해커들에게는 정말 꿀 같은 정보일 것입니다. 앞으로도 다수의 Miner가 OS, 플랫폼을 불문하고 등장할 것으로 생각합니다. 다운로드 하려는 모든 소프트웨어는 필히 공식 사이트에서 다운로드 하시길 바라며, 최신 백신으로 업데이트하여 남 좋은 일에 자신의 모바일 단말을 내주지 않도록 하시길 바랍니다.

 

 

 

[Wins IPS]

 - [3880] Android/Miner.Coinhive.33610190

 - [3881] Android/Miner.Coinhive.26240916

 - [3882] Android/Miner.Coinhive.Connection

 

[Wins UTM]

 - [838861293] Android/Miner.Coinhive.33610190

 - [838861294] Android/Miner.Coinhive.26240916

 - [838861295] Android/Miner.Coinhive.Connection

 

[Wins APTX]

 - [3012] Android/Miner.Coinhive.33610190

 - [3013] Android/Miner.Coinhive.26240916

 - [3014] Android/Miner.Coinhive.Connection

 

 

 

Source

[Title 그림] https://coinhive.com

http://blog.trendmicro.com/trendlabs-security-intelligence/coin-miner-mobile-malware-returns-hits-google-play/

첨부파일 첨부파일이 없습니다.
태그 CoinHive  코인하이브  Malware