剪贴板幽灵：币圈大盗

概括

背景

360烽火实验室持续跟踪分析Android平台窃取数字货币木马和挖矿木马及相关行业。 在2018年1月发布的《安卓平台挖矿木马研究报告》[1]中，我们对挖矿木马进行了介绍，并详细阐述了挖矿木马的行业现状、原理和危害。 报道中提到，此类木马已经转向攻击电子钱包。

2018年4月，360安全中心首次在PC平台监测到一类加密数字货币木马[2]。 该木马程序会持续监控用户剪贴板的内容，以确定其是否为比特币或以太币等加密数字货币地址。 然后，在用户交易时，将目标地址替换成自己的地址，进行盗窃。 我们将其命名为“剪贴板幽灵”。

截至2018年6月，该木马累计感染量达66万。 2018年8月，我们也在Android平台抓获了同类型木马。

1、电子货币钱包

“电子钱包”是电子商务购物活动中常用的一种支付工具。 存储在电子钱包中的电子货币，如电子现金、电子零钱、电子信用卡等。

随着各种数字货币的诞生，为了方便用户记录地址和私钥，官方会同时发布电子钱包应用，一些第三方公司也会开发一些钱包应用，进一步提升用户体验.

今年，奇虎360发布了一份名为《数字货币安全白皮书》的报告，对电子钱包的安全问题进行了方方面面的阐述。 由于攻击电子钱包可以直接获得大量收益，因此PC平台上出现了攻击电子钱包的木马。

二、疫区及损失

据360安全中心监测数据显示，“剪贴板幽灵”木马通过感染病毒、木马下载器、垃圾邮件等方式在PC平台传播，累计传播量达100万次以上。

截至2018年6月，360安全卫士已拦截此类木马攻击5万余次，帮助用户挽回损失4000余万元。

图1.1 PC平台感染国家分布

“剪贴板幽灵”木马原理 1. 电子货币钱包转账流程

以比特币钱包为例，钱包转账过程只需要打开电子钱包APP，输入要转账的钱包地址和转账金额即可。

图 2.1 比特币转账图

2.剪贴板劫持的原理

此类窃取加密数字货币的木马利用剪贴板劫持技术，通过替换钱包地址达到窃取加密数字货币的目的。

(1) PC平台剪贴板劫持

PC平台上的剪贴板实际上是系统预留的一块全局共享内存比特币挖矿流程图，用于暂存进程间交换的数据：提供数据的进程创建一个全局内存块，并将要传输的数据移动或复制到这个内存块中； 接收数据的进程（或提供数据的进程本身）获得该内存块的句柄，完成对该内存块数据的读取。

PC平台木马会一直读取剪贴板内存中的数据，检查是否为钱包地址，如果是则替换剪贴板内存中的地址。

(2)Android平台剪贴板劫持

Android 剪贴板 API 本身非常简单，包括自动获取和设置当前剪贴板数据的方法。 数据是一个 ClipData 对象，它定义了应用程序之间的数据交换协议。 剪贴板使用步骤：

图 2.2 剪贴板流程图

Android平台木马在步骤c时，木马会检查剪贴板中的内容是否为电子钱包地址，如果是则替换为攻击者的钱包地址，达到目的劫持。

图 2.3 劫持流程图

三、“剪贴板幽灵”分析

(1)PC平台

PC平台木马主要替换以太坊地址（ETH）和比特币（BTC）类型的地址。 木马的入口函数是循环读取剪贴板数据

图 2.4 循环读取剪贴板数据

判断是否为以太坊地址（ETH），如果是则替换剪贴板中的地址

图 2.5 替换剪贴板内容

判断以太坊地址（ETH）和比特币（BTC）类型的地址

图2.6 判断地址格式

(2) 安卓平台

木马通过监听用户手机剪贴板的内容，判断是否为加密数字货币的钱包地址。 如果是钱包地址，则替换为攻击者从云服务中获取的钱包地址。 当用户将复制的钱包地址粘贴到转账地址栏时，原钱包地址已被木马替换为攻击者的钱包地址，造成用户财产损失。

图2.7 木马盗窃流程图

木马想要窃取 7 种加密货币：

对于 4 个目标钱包：

木马首先打开一个监听器监听剪贴板的内容

图2.8 打开监听代码

然后监控剪贴板的内容和长度是否符合特定的钱包地址格式

图2.9 监控剪贴板内容代码

以比特币钱包地址格式为例，1B4cqwD9nMik86HeWpr6uYLox693ZEo5qH，地址总长度为34位，以1或3开头。

图 2.10 比较比特币钱包格式代码

最后如果匹配到目标格式，则向服务器发送请求获取对应的电子钱包地址，并替换

图 2.11 替换剪贴板内容代码

小结 1. 剪贴板功能的潜在风险预估

剪贴板的使用不需要用户授予额外的权限，这使得剪贴板的使用更加简单，相关的安全问题值得我们注意和防范：

剪贴板内容被盗。 剪贴板中有一个监听器，监听剪贴板内容的变化。 当用户使用剪贴板时，监听器可以获得用户复制到剪贴板的具体内容。 一旦内容被第三方获取到用户不期望的内容，此时用户将面临隐私泄露的风险。 特别是对于账号密码或者比较私密的信息，不要轻易使用剪贴板功能。

剪贴板内容已被篡改。 一旦剪贴板中的内容被第三方知晓，就可以对该内容进行篡改，例如修改剪贴板中的链接信息，将用户引导至钓鱼事件。 使用剪贴板操作链接内容时，用户必须谨慎筛选并打开。 在剪贴板功能介绍中，我们提到剪贴板中可以放置的内容不仅是Text，还可以是URI和Intent。 当 URI 和 Intent 被替换时，结果是不可预测的。 一旦被恶意使用，后果不堪设想。

二、安全防护建议

在Android平台上，由于Android系统权限有限，第三方安全软件很难有效防范劫持剪贴板的木马。 在这里我们推荐：

个人用户

电子钱包开发商

在PC平台上，我们已经能够有效拦截此类木马。 360安全卫士于2018年6月发布区块链防火墙功能[3]，相关产品遭遇剪贴板被篡改、数字货币钱包被攻击、账号密码被盗等安全问题。

当用户进行加密货币交易时，“区块链防火墙”功能被开启。 如果检测到剪贴板中的钱包地址被篡改，360安全卫士会弹出警告窗口。

图 3.1 提示窗口

在安全性方面，安卓木马主要受PC平台木马的影响。 从历史上木马的传播趋势来看，出现在PC上的木马很快就会出现在Android平台上。 例如：“勒索”、“挖矿”、“剪贴板幽灵”三大木马家族首先出现在PC平台，然后蔓延到Android端。

目前安卓平台上已经有很多加密数字货币钱包APP，方便广大加密数字货币爱好者买卖、转账、查市，但同时也存在安全问题值得我们关注。 目前比特币挖矿流程图，Android平台抓获的“剪贴板幽灵”木马针对欧美地区，未发现类似样本在国内传播。 但从对PC平台和Android平台样本的分析来看，该木马在Android平台上已经具备窃取加密数字货币的功能，预计在不久的将来还会有针对中国用户的恶意攻击。

区块链作为新兴的热点技术，在安全性方面尚未完善，可能导致个人信息泄露、财产损失等，因此提高数据安全性成为亟待解决的问题，360灯塔实验室将继续要注意这样的样品。

附录

[1] Android平台挖木马研究报告

[2] 剪贴板鬼疯狂窃取虚拟货币 360帮用户节省4000万

[3] 360安全卫士发布区块链防火墙功能