深潮 TechFlow 消息,3 月 22 日,據 SecureList 披露,黑客通過仿冒 Google Play 商店的釣魚頁面,在巴西發起 Android 惡意軟件攻擊活動。目前所有已知受害者均位於巴西。
攻擊者搭建了與 Google Play 高度相似的釣魚網站,誘導用戶下載名為"INSS Reembolso"的偽造應用。該應用安裝後,將分階段釋放隱藏惡意代碼,並直接加載至內存運行,設備上不留可見文件,具有較強的隱蔽性。
惡意軟件的核心功能之一為加密貨幣挖礦,內置針對 ARM 設備編譯的 XMRig 挖礦程序,可在後臺靜默連接攻擊者控制的挖礦服務器。該程序會監控電池電量、溫度及設備使用狀態,動態調整挖礦行為以規避檢測,並通過循環播放靜音音頻文件繞過 Android 系統的後臺進程管理機制。
部分變種還內置銀行木馬,可在 Binance 和 Trust Wallet 的 USDT 轉賬界面疊加偽造頁面,靜默替換收款地址。此外,惡意軟件支持錄音、截屏、鍵盤記錄及遠程鎖機等多項遠程控制指令。
添加收藏
分享社交媒體
