趋势科技在本周三表示，他们的研究团队发现了一款新型的Android恶意软件，被设计用于利用受感染设备的CPU计算能力来挖掘门罗币。

根据研究人员的说法，这款名为“HiddenMiner（由趋势科技检测为ANDROIDOS_HIDDENMINER）”的恶意软件是在第三方应用商店发现的，大部分受害者都位于中国和印度。

另外，由于HiddenMiner的挖矿代码中没有设置开关、控制器或优化器，这意味着一旦它开始执行挖矿进程，便会一直持续下去，直到设备电量耗尽为止。鉴于HiddenMiner的这种特性，它很可能会导致受感染设备最终因过热而损坏。

研究人员表示，这种特性与之前被报道的能够引起受感染设备电池膨胀的Android恶意软件Loapi十分相似。事实上，HiddenMiner还使用了与Loapi类似的“锁屏”技术（在受害者尝试删除恶意软件时锁定设备屏幕）。

在进一步的调查中研究人员还发现了与HiddenMiner相关联的采矿池和钱包地址。根据数据显示，HiddenMiner背后的运营团队目前已经挖掘到了26枚硬币（约价值5400美元）。

研究人员指出，HiddenMiner伪装成了合法的Google Play商店应用更新程序，显示为“com.google.android.provider”，并使用了与Google Play商店相同的图标。

它会要求受害者以设备管理员身份来激活它，这个窗口会一直持续弹出，直到受害者点击激活按钮为止。一旦获得许可，HiddenMiner将在后台开始挖矿操作。

HiddenMiner还使用了多种技术来将保持隐蔽性，例如清空应用程序标签并在安装后使用透明图标。一旦受害者以设备管理员身份将其激活，它将通过调用 “setComponentEnableSetting（）”从应用程序启动器隐藏自己。

另外，HiddenMiner还具备了反分析能力，可绕过大多数安全产品和自动分析程序的检测。它还会通过利用发布在Github上的Android模拟器检测器来检查自身是否置身于模拟器上运行。

研究人员还表示，对于运行Android 6.0及更早版本操作系统的设备来说，想要删除HiddenMiner并不容易。因为，一旦HiddenMiner检测到受害者正在尝试删除其管理员权限，它就会锁定受感染设备的屏幕，使得受害者无法进行任何操作。

在这种情况下，唯一办法是以安全模式重新启动设备，然后删除HiddenMiner的管理员权限以及受HiddenMiner感染的应用程序。

值得指出的是，这种情况并不会出现在使用运行Nougat（Android 7.0）和更高版本的设备上，因为谷歌通过减少设备管理员应用程序的权限解决了这一问题。

声明：本文来自黑客视界，版权归作者所有。文章内容仅代表作者独立观点，不代表士冗科技立场，转载目的在于传递更多信息。如有侵权，请联系 service@expshell.com。