黑客模仿 Google Play 传播加密货币挖矿恶意软件

黑客正利用一种新的网络钓鱼手段攻击受害者。据 SecureList 发布的消息，黑客正在巴西利用伪造的 Google Play 应用商店页面传播安卓恶意软件。.

这款恶意应用看似合法，但一旦安装，就会将受感染的手机变成加密货币挖矿机。此外，它还被用于安装银行恶意软件，并授予攻击者远程访问权限。.

黑客将巴西智能手机变成加密货币挖矿机

该攻击活动始于一个与 Google Play 几乎dent的钓鱼网站。其中一个页面提供了一款名为 INSS Reembolso 的虚假应用程序，声称与巴西社会保障服务机构有关。该应用程序的 UX/UI 设计模仿了可信的政府服务，并复制了 Play 商店的布局，以使用户误以为下载是安全的。.

安装虚假应用后，恶意软件会分多个阶段解压隐藏代码。它使用加密组件，并将主要恶意代码直接加载到内存中。设备上不会留下任何可见文件，因此用户很难察觉任何可疑活动。.

该恶意软件还能躲避安全研究人员的分析。它会检查手机是否运行在模拟环境中。如果检测到，它就会停止运行。

安装成功后，恶意软件会继续下载更多恶意文件。它会显示另一个伪造的类似 Google Play 的界面，然后弹出虚假的更新提示，诱导用户点击更新按钮。.

其中一个文件是加密货币挖矿程序，它是为 ARM 设备编译的 XMRig 版本。该恶意软件从攻击者控制的基础设施中获取挖矿有效载荷，然后对其进行解密并在手机上运行。该有效载荷会将受感染的设备连接到攻击者控制的挖矿服务器，从而在后台静默挖矿。.

这款恶意软件非常复杂，并非盲目挖矿。根据 SecureList 的分析，该恶意软件会监控电池电量百分比、温度、安装时间以及手机是否正在使用。挖矿活动会根据监控到的数据自动启动或停止。其目的是隐藏自身，尽可能降低被发现的风险。.

安卓系统会关闭后台应用以节省电量，但这种恶意软件通过循环播放一段几乎无声的音频文件来绕过这一机制。它伪装成正在运行的应用，从而避免安卓系统的自动停用。.

为了持续发送指令，该恶意软件使用了 Firebase 云消息传递服务，这是一项合法的 Google 服务。这使得攻击者能够轻松发送新的指令并管理受感染设备上的活动。.

银行木马程序攻击USDT转账。

该恶意软件的功能远不止挖矿。某些版本还会安装针对 Binance Trust Wallet的银行木马，尤其是在进行USDT转账时。它会在真实应用界面上叠加虚假页面，然后悄悄地将钱包地址替换为攻击者控制的地址。.

该银行模块还会监控 Chrome 和 Brave 等浏览器，并支持多种远程命令。这些命令包括录音、屏幕截图、发送短信、锁定设备、擦除数据和记录键盘输入。.

其他近期出现的样本也沿用了相同的虚假应用推送方式，但转而使用不同的恶意代码。它们会安装 BTMOB RAT，这是一种在地下市场出售的远程访问工具。.

BTMOB是恶意软件即服务（MaaS）生态系统的一部分。攻击者可以购买或租用它，这降低了黑客攻击和窃取数据的门槛。该工具赋予攻击者更深层次的访问权限，包括屏幕录制、摄像头访问、GPS trac和dent窃取。.

BTMOB 正在网络上积极推广。一名网络攻击者在 YouTube 上分享了该恶意软件的演示视频，展示了如何控制受感染的设备。销售和支持均通过 Telegram 账号进行。.

SecureList指出，所有已知的受害者都在巴西。一些较新的变种恶意软件也正在通过WhatsApp和其他钓鱼网站。

像这样复杂的黑客攻击活动提醒我们，要核实所有信息，不要轻信任何事物。.

最顶尖的加密货币专家都在阅读我们的简报。想加入他们？