360 烽火实验室：Android 平台窃取数字货币木马及相关产业分析

抽象背景

360烽火实验室持续对平台盗取数字货币木马、挖矿木马以及相关行业进行跟踪分析。在2018年1月发布的《平台挖矿木马研究报告》[1]中，我们对挖矿木马进行了介绍，并详细阐述了挖矿木马的行业现状、原理和危害。报道提到，此类木马已转向攻击电子钱包。

2018年4月，360网络安全中心首次在PC平台监测到一类加密数字货币木马[2]。该木马会持续监控用户剪贴板内容，判断是否为比特币、以太坊等加密数字货币地址，然后在用户进行交易时，将目标地址替换为自己的地址，从而实施盗窃。我们将其命名为“剪贴板幽灵”。

截至2018年6月，该木马累计感染人数达66万。 2018年8月，我们也在该平台捕获了同类型木马。

1.电子货币钱包

“电子钱包”是电子商务购物活动中常用的支付工具。存储在电子钱包中的电子货币，如电子现金、电子零钱、电子信用卡等。

随着各种数字货币的诞生，为了方便用户记录地址和私钥，官方会同时发布电子钱包应用。同时，一些第三方公司也会开发一些钱包应用程序，以进一步改善用户体验。

今年，360发布了一份报告《数字货币安全白皮书》，详细介绍了电子钱包的各种安全问题。由于攻击电子钱包可以直接获取大量收益，因此攻击电子钱包的木马已经出现在PC平台上。

二、疫区及损失

360互联网安全中心监测数据显示，“剪贴板幽灵”木马通过传染性病毒、木马下载器、垃圾邮件等方式在PC平台传播，累计传播量超过100万次。

截至2018年6月，360安全卫士已拦截此类木马攻击超过5万个，帮助用户挽回损失超过4000万元。

图1.1 PC平台感染的全国分布

“剪贴板幽灵”木马原理一、电子货币钱包转账流程

以某比特币钱包为例，钱包转账过程只需打开电子钱包APP，输入要转账的钱包地址和转账金额即可。

图2.1 比特币转账示意图

2、剪贴板劫持原理

此类窃取加密货币的木马利用剪贴板劫持技术，通过替换钱包地址来窃取加密货币。

（1）PC平台剪贴板劫持

PC平台上的剪贴板实际上是系统保留的一块全局共享内存，用于临时存储进程间交换的数据：提供数据的进程创建一个全局内存块，并移动或复制要传输的数据到这个内存块；接收数据的进程（也可以是提供数据的进程本身）获得该内存块的句柄，完成对该内存块数据的读取。

PC平台木马会一直读取剪贴板内存中的数据，检查是否是钱包地址，如果是，则替换剪贴板内存中的地址。

（2）平台剪贴板劫持

API 本身非常简单，包含自动获取和设置当前剪贴板数据的方法。该数据是定义应用程序之间数据交换协议的对象。剪贴板使用步骤：

图2.2 剪贴板流程图

当平台木马到达步骤c时，木马会检查剪贴板中的内容是否是电子钱包的地址。如果有，就会替换成攻击者的钱包地址，从而达到劫持的目的。

图2.3 劫持流程图

三、“剪贴板幽灵”分析（一）PC平台

PC平台木马主要替换以太坊地址（ETH）和比特币（BTC）类型地址。该木马的入口函数是循环读取剪贴板数据。

图2.4 循环读取剪贴板数据

判断是否是以太坊地址（ETH），如果是，则替换剪贴板中的地址

图2.5 替换剪贴板内容

确定以太坊地址（ETH）和比特币（BTC）类型地址

图2.6 确定地址格式

（二）平台

该木马监控用户手机剪贴板的内容，判断是否是加密数字货币的钱包地址。如果是钱包地址，则将其替换为从云服务获取的攻击者钱包地址。当用户将复制的钱包地址粘贴到转账地址栏时，原来的钱包地址已被木马替换为攻击者的钱包地址，造成用户的财产损失。

图2.7 木马盗窃流程图

木马想要窃取 7 种加密货币：

对于 4 个目标钱包：

木马首先打开一个监听器来监听剪贴板的内容。

图2.8 开启监听代码

然后，监控剪贴板中的内容和长度是否与特定的钱包地址格式匹配。

图2.9 监控剪贴板内容的代码

以比特币钱包地址格式为例，地址总长度为34，以1或3开头。

图2.10 比特币钱包格式代码对比

最后，如果符合目标格式，则向服务器发送请求，获取对应的电子钱包地址，并替换

图2.11 替换剪贴板内容的代码

总结1.剪贴板功能潜在风险评估

剪贴板的使用不需要用户授予额外的权限，这使得剪贴板的使用更加方便。与之相关的安全问题更值得我们关注和防范：

剪贴板内容被盗。剪贴板中有一个监听器，监听剪贴板内容的变化。当用户使用剪贴板时，监听器可以获取用户复制到剪贴板的具体内容。一旦内容被用户意想不到的第三方获取，此时用户将面临隐私泄露的风险。尤其是账户密码或者比较私密的信息，不要轻易使用剪贴板功能。

剪贴板内容已被篡改。一旦剪贴板中的内容被第三方知晓，该内容就可能被篡改，例如修改剪贴板中的链接信息以引导用户发生钓鱼事件。用户在使用剪贴板操作链接型内容时，一定要记得仔细筛选并打开。页;在剪贴板功能的介绍中，我们提到剪贴板中可以放置的内容不仅是Text，还可以是URI和。当 URI 和 被替换时，结果是不可预测的。一旦被恶意利用，后果不堪设想。 。

2、安全防护建议

在平台上，由于系统权限限制，第三方安全软件很难有效防范劫持剪贴板的木马。在这里我们推荐：

个人用户

电子钱包开发商

在PC平台上，我们已经能够有效拦截此类木马。 360安全卫士于2018年6月发布了区块链防火墙功能[3]，该功能用于解决用户使用数字货币等区块链时出现的问题。在使用相关产品时，我们遇到了剪贴板篡改、数字货币钱包被攻击、账户密码被盗等安全问题。

当用户进行加密货币交易并开启“区块链防火墙”功能时，如果检测到剪贴板中的钱包地址被篡改，360安全卫士会弹出警告窗口。

图3.1 提示窗口

从安全性上来说，木马很大程度上受PC平台木马的影响。从木马家族的历史传播趋势来看，曾经在PC平台出现过的木马家族很快也会出现在平台上。例如：“勒索软件”、“挖矿”、“剪贴板幽灵”是三个首先出现在PC平台然后传播到终端的木马家族。

目前平台上已有众多加密数字货币钱包APP，方便广大加密数字货币爱好者进行买卖、转账、查询行情等。然而，安全问题也值得我们关注。该平台捕获的“剪贴板幽灵”木马目前针对欧美地区，尚未发现类似样本在国内传播。但从PC平台和平台样本分析来看，该木马已经具备窃取平台加密数字货币的功能，预计很快就会出现针对中国用户的恶意攻击。

区块链作为一种新兴的流行技术，在安全性方面尚不完善，可能会导致个人信息泄露、财产损失等，因此，提高数据安全性已成为亟待解决的问题，360烽火实验室将继续注意此类样本。

附录

[1] 平台挖矿木马研究报告

[2]剪贴板鬼疯狂窃取虚拟货币 360帮助用户节省4000万

[3]360安全卫士发布区块链防火墙功能