据 SecureList 报告,黑客通过伪装成 Google Play Store 的网络钓鱼页面,在巴西发动了一场 Android 恶意软件活动。目前为止,已知的受害者均位于巴西。攻击者诱使用户下载名为 INSS Reembolso 的假冒应用。一旦安装,该恶意软件分阶段释放隐藏代码并直接将其加载到内存中执行——设备上不留任何可见文件,从而实现高度隐蔽。
该恶意软件的核心功能之一是加密货币挖矿。它嵌入了一款 ARM 编译的 XMRig 挖矿程序,在后台悄无声息地连接到攻击者控制的挖矿服务器。该程序会监控电量、设备温度和使用状态,以动态调整挖矿活动并规避检测。此外,它通过持续播放静音音频文件来绕过 Android 的后台进程管理机制。
一些变体还包括银行木马功能,在 Binance 和 Trust Wallet 的 USDT 转账界面覆盖伪造界面,悄无声息地替换收款地址。此外,该恶意软件还支持多种远程控制命令,包括录音、截图、按键记录和远程设备锁定。
发表评论