黑客僞造 Google Play 商店頁面，針對巴西用戶實施加密貨幣挖礦與錢包劫持攻擊

金色財經報道，3月22日，黑客通過仿冒 Google Play 商店的釣魚頁面，在巴西發起 Android 惡意軟件攻擊活動。目前所有已知受害者均位於巴西。 攻擊者搭建了與 Google Play 高度相似的釣魚網站，誘導用戶下載名爲“INSS Reembolso”的僞造應用。該應用安裝後，將分階段釋放隱藏惡意代碼，並直接加載至內存運行，設備上不留可見文件，具有較強的隱蔽性。惡意軟件的核心功能之一爲加密貨幣挖礦，內置針對 ARM 設備編譯的 XMRig 挖礦程序，可在後臺靜默連接攻擊者控制的挖礦服務器。該程序會監控電池電量、溫度及設備使用狀態，動態調整挖礦行爲以規避檢測，並通過循環播放靜音音頻文件繞過 Android 系統的後臺進程管理機制。 部分變種還內置銀行木馬，可在 Binance 和 Trust Wallet 的 USDT 轉賬界面疊加僞造頁面，靜默替換收款地址。此外，惡意軟件支持錄音、截屏、鍵盤記錄及遠程鎖機等多項遠程控制指令。