虽然谷歌在今年7月27日更新的Google Play应用商店开发人员规则中明确表示，禁止将任何加密货币挖掘应用程序上传到Google Play，但最新的一项调查结果表明，一些开发人员显然已经找到了将此类应用程序成功上传至应用商店页面的办法——隐藏其真正目的。 [出自:jiwo.org]

一年多以来，受加密货币价格大幅上涨的推动，恶意加密挖掘活动在全球范围内一度表现出不断飙升的态势，而移动设备用户也同样未能幸免，特别是那些主流的移动操作系统用户，如Android。

最近，来自英国安全公司Sophos旗下SophosLabs安全研究中心的安全研究人员在Google Play中发现了至少25款加密货币挖掘应用程序，并透露超过12万名用户可能已经下载并安装了它们。这些应用程序被其开发人员伪装成游戏、实用工具和教育应用等，但事实上都嵌入了Coinhive加密货币挖掘代码。

Coinhive基于JavaScript（一种直译式脚本语言），是一种用于挖掘门罗币（Monero）的脚本。它旨在利用设备的CPU来进行挖矿，而不是GPU。因此，它非常适合在移动设备上进行隐秘挖掘。

研究人员表示，只需简短的几行代码，就可以将挖掘功能添加到使用WebView嵌入式浏览器的任何应用程序中。

“对于所有这些应用程序，他们的开发者都选择了门罗币，因为它提供了足够的隐匿性，可以隐藏资金交易发起者和接受者，以及交易金额。这些应用程序均利用CPU来挖矿并限制CPU使用率，从而避免了常见的弊端：导致设备过热、高电能消耗和设备整体运行迟缓。”SophosLabs 解释说。

在这25款应用程序中，有11款伪装成与美国考试（如ACT、GRE和SAT）有关的教育应用程序，且是由同一个开发者账户（Gadgetium）发布的。根据研究人员的说法，这些应用程序均包含一个HTML页面，其中包含一个基于Coinhive的矿工。

应用程序首先会启用JavaScript并使用WebView加载HTML页面，然后使用“miner_id”从资源中检索的钱包地址启动矿工。虽然大多数应用程序使用的都是在coinhive[.]com上托管的脚本，但其中两个应用程序（co.lighton和com.mobeleader.spsapp）所使用的脚本却是托管在它们自己的服务器上。研究人员表示，这很可能是为了应对出现防火墙对Coinhive域名进行了阻止的情况。

另外，其中一款应用程序（de.uwepost.apaintboxforkids）使用了流行的开源CPU矿工XMRig，它被设计为能够挖掘包括门罗币在内的多种加密货币。

SophosLabs 在最新发布的一份报告中指出，他们早在今年8月份就已经将这些应用程序存在恶意行为的情况通报给了谷歌。从目前的结果来看，其中一些已经被删除，但有多款应用程序仍然可以在Google Play中下载。

以下是25款挖矿应用程序（APP包名）的完整列表：

com.cakrawalapengetahuan.infogurupendidikan

com.devmouakkit.mugginsdominoesgame

com.gadgetium.android.act

com.gadgetium.android.cat

com.gadgetium.android.sat

com.gadgetium.gmat

com.gadgetium.gre

com.gadgetium.lsat

com.gadgetium.psat

com.gadgetium.test.aieee

com.gadgetium.test.aiims

com.gadgetium.test.gate

com.gadgetium.test.stan

com.lhds.vendors.android

com.palpostr.palkar

com.rdt.tapbugs

com.rdt.yamaya.dreamspell

com.rlite.funnfair

com.servicehangar.seriestrailer

com.thanhtuteam.gameviet2048

de.uwepost.apaintboxforkids

com.mobeleader.spsapp

com.solovev.kghelper

com.thothprojects.trancedroid

co.lighton