Gate News 消息,3 月 22 日,据 SecureList 披露,黑客近期通过仿冒 Google Play 商店的钓鱼页面,在巴西发起 Android 恶意软件攻击活动。目前所有已知受害者均位于巴西。
攻擊者搭建了與 Google Play 高度相似的釣魚網站,誘導用戶下載名為"INSS Reembolso"的偽造應用。該應用安裝後,將分階段釋放隱藏惡意程式碼,並直接載入至記憶體運行,設備上不留可見檔案,具有較強的隱蔽性。
惡意軟體的核心功能之一為加密貨幣挖礦,內置針對 ARM 裝置編譯的 XMRig 挖礦程式,可在背景靜默連接攻擊者控制的挖礦伺服器。該程式會監控電池電量、溫度及裝置使用狀態,動態調整挖礦行為以規避偵測,並透過循環播放靜音音訊檔案繞過 Android 系統的背景進程管理機制。
部分變種還內建銀行木馬,可在某 CEX 和某錢包的 USDT 轉帳界面疊加偽造頁面,靜默取代收款地址。此外,惡意軟體支援錄音、截圖、鍵盤記錄及遠端鎖機等多項遠端控制指令。
