黑客正在通过新的钓鱼计划针对受害者。根据SecureList的帖子,黑客正在使用假冒的Google Play商店页面在巴西传播Android恶意软件活动。这款有害应用看起来像是合法的下载,但一旦安装,它就会将受感染的手机变成加密货币挖矿机器。此外,它还被用来安装银行恶意软件并授予威胁行为者远程访问权限。
黑客将巴西智能手机变成加密货币挖矿机器
该活动从一个看起来几乎与Google Play完全相同的钓鱼网站开始。其中一个页面提供了一个名为INSS Reembolso的假冒应用,声称与巴西的社会保障服务有关。UX/UI设计复制了受信任的政府服务和Play Store布局,使下载看起来安全。
安装假冒应用后,恶意软件分多个阶段解包隐藏代码。它使用加密组件并将主要恶意代码直接加载到内存中。设备上没有可见文件,使用户难以检测任何可疑活动。
恶意软件还逃避安全研究人员的分析。它会检查手机是否在模拟环境中运行。如果检测到模拟环境,它会停止工作。
成功安装后,恶意软件继续下载更多恶意文件。它显示另一个假冒的Google Play风格屏幕,然后显示虚假更新提示并推动用户点击更新按钮。
其中一个文件是加密货币挖矿程序,这是为ARM设备编译的XMRig版本。恶意软件从攻击者控制的基础设施中获取挖矿有效载荷,然后解密并在手机上运行。该有效载荷将受感染的设备连接到攻击者控制的挖矿服务器,在后台静默挖掘加密货币。
智能挖矿策略避免检测
恶意软件很复杂,不会盲目挖掘加密货币。根据SecureList的分析,恶意软件监控电池充电百分比、温度、安装时间以及手机是否正在被主动使用。挖矿根据监控数据开始或停止。目标是保持隐藏并减少任何检测机会。
Android会终止后台应用以节省电池,但恶意软件通过循环播放几乎无声的音频文件来逃避这一点。它伪造主动使用以避免Android的自动停用。
为了继续发送命令,恶意软件使用Firebase Cloud Messaging,这是一项合法的Google服务。这使得攻击者可以轻松发送新指令并管理受感染设备上的活动。
银行木马针对USDT转账
恶意软件不仅仅是挖矿。某些版本还安装了针对Binance和Trust Wallet的银行木马,特别是在USDT转账期间。它在真实应用上覆盖假屏幕,然后悄悄地将钱包地址替换为攻击者控制的地址。
银行模块还监控Chrome和Brave等浏览器,并支持广泛的远程命令。这些包括录制音频、捕获屏幕、发送短信、锁定设备、擦除数据和记录击键。
其他最近的样本保持相同的假冒应用交付方法,但切换到不同的有效载荷。它们安装BTMOB RAT,这是一种在地下市场销售的远程访问工具。BTMOB是恶意软件即服务(MaaS)生态系统的一部分。攻击者可以购买或租用它,这降低了黑客攻击和盗窃的门槛。
该工具为攻击者提供更深入的访问权限,包括屏幕录制、摄像头访问、GPS跟踪和凭据盗窃。BTMOB在网上积极推广。威胁行为者在YouTube上分享了恶意软件的演示,展示了如何控制受感染的设备。销售和支持通过Telegram账户处理。
SecureList表示,所有已知的受害者都在巴西。一些较新的变体也通过WhatsApp和其他钓鱼页面传播。
像这样复杂的黑客活动提醒我们要验证一切,不要轻易相信任何东西。
本网站所有区块链相关数据与资料仅供用户学习及研究之用,不构成任何投资建议。转载请注明出处:https://www.lianxinshe666.com/2026/03/22/%e9%bb%91%e5%ae%a2%e5%81%87%e5%86%92google-play%e4%bc%a0%e6%92%ad%e5%8a%a0%e5%af%86%e8%b4%a7%e5%b8%81%e6%8c%96%e7%9f%bf%e6%81%b6%e6%84%8f%e8%bd%af%e4%bb%b6%ef%bc%8c%e5%b7%b4%e8%a5%bf%e7%94%a8%e6%88%b7/
