黑客模仿 Google Play 傳播加密貨幣挖礦惡意軟件

黑客正利用一種新的網絡釣魚手段攻擊受害者。據 SecureList 發佈的消息，黑客正在巴西利用僞造的 Google Play 應用商店頁面傳播安卓惡意軟件。.

這款惡意應用看似合法，但一旦安裝，就會將受感染的手機變成加密貨幣挖礦機。此外，它還被用於安裝銀行惡意軟件，並授予攻擊者遠程訪問權限。.

黑客將巴西智能手機變成加密貨幣挖礦機

該攻擊活動始於一個與 Google Play 幾乎dent的釣魚網站。其中一個頁面提供了一款名爲 INSS Reembolso 的虛假應用程序，聲稱與巴西社會保障服務機構有關。該應用程序的 UX/UI 設計模仿了可信的政府服務，並複製了 Play 商店的佈局，以使用戶誤以爲下載是安全的。.

安裝虛假應用後，惡意軟件會分多個階段解壓隱藏代碼。它使用加密組件，並將主要惡意代碼直接加載到內存中。設備上不會留下任何可見文件，因此用戶很難察覺任何可疑活動。.

該惡意軟件還能躲避安全研究人員的分析。它會檢查手機是否運行在模擬環境中。如果檢測到，它就會停止運行。

安裝成功後，惡意軟件會繼續下載更多惡意文件。它會顯示另一個僞造的類似 Google Play 的界面，然後彈出虛假的更新提示，誘導用戶點擊更新按鈕。.

其中一個文件是加密貨幣挖礦程序，它是爲 ARM 設備編譯的 XMRig 版本。該惡意軟件從攻擊者控制的基礎設施中獲取挖礦有效載荷，然後對其進行解密並在手機上運行。該有效載荷會將受感染的設備連接到攻擊者控制的挖礦服務器，從而在後臺靜默挖礦。.

這款惡意軟件非常複雜，並非盲目挖礦。根據 SecureList 的分析，該惡意軟件會監控電池電量百分比、溫度、安裝時間以及手機是否正在使用。挖礦活動會根據監控到的數據自動啓動或停止。其目的是隱藏自身，儘可能降低被發現的風險。.

安卓系統會關閉後臺應用以節省電量，但這種惡意軟件通過循環播放一段幾乎無聲的音頻文件來繞過這一機制。它僞裝成正在運行的應用，從而避免安卓系統的自動停用。.

爲了持續發送指令，該惡意軟件使用了 Firebase 雲消息傳遞服務，這是一項合法的 Google 服務。這使得攻擊者能夠輕鬆發送新的指令並管理受感染設備上的活動。.

銀行木馬程序攻擊USDT轉賬。

該惡意軟件的功能遠不止挖礦。某些版本還會安裝針對 Binance Trust Wallet的銀行木馬，尤其是在進行USDT轉賬時。它會在真實應用界面上疊加虛假頁面，然後悄悄地將錢包地址替換爲攻擊者控制的地址。.

該銀行模塊還會監控 Chrome 和 Brave 等瀏覽器，並支持多種遠程命令。這些命令包括錄音、屏幕截圖、發送短信、鎖定設備、擦除數據和記錄鍵盤輸入。.

其他近期出現的樣本也沿用了相同的虛假應用推送方式，但轉而使用不同的惡意代碼。它們會安裝 BTMOB RAT，這是一種在地下市場出售的遠程訪問工具。.

BTMOB是惡意軟件即服務（MaaS）生態系統的一部分。攻擊者可以購買或租用它，這降低了黑客攻擊和竊取數據的門檻。該工具賦予攻擊者更深層次的訪問權限，包括屏幕錄製、攝像頭訪問、GPS trac和dent竊取。.

BTMOB 正在網絡上積極推廣。一名網絡攻擊者在 YouTube 上分享了該惡意軟件的演示視頻，展示瞭如何控制受感染的設備。銷售和支持均通過 Telegram 賬號進行。.

SecureList指出，所有已知的受害者都在巴西。一些較新的變種惡意軟件也正在通過WhatsApp和其他釣魚網站。

像這樣複雜的黑客攻擊活動提醒我們，要覈實所有信息，不要輕信任何事物。.

最頂尖的加密貨幣專家都在閱讀我們的簡報。想加入他們？