伪装正规应用的隐蔽挖矿攻击正蔓延巴西
近期有黑客团伙利用高度仿真的钓鱼网站,在巴西地区大规模分发伪装成官方应用的恶意程序。这些应用一旦被安装,便会无声启动加密挖矿任务,同时规避系统电池监控机制,实现长期潜伏。
专攻数字钱包的欺诈性木马现身
部分恶意样本已集成针对币安及Trust Wallet用户的银行木马模块。在用户执行USDT转账操作时,该木马会在真实界面之上叠加伪造页面,自动篡改收款地址,将资金转移至攻击者掌控的钱包。
攻击链路从仿冒应用商店开始
攻击起始于模仿谷歌应用商店界面的钓鱼站点。其中一款名为“INSS Reembolso”的虚假应用,谎称与巴西社会保障机构相关,其视觉设计复刻了政府品牌标识与官方布局,诱导用户误信下载。
安装后,恶意代码以多阶段解包方式加载,采用加密组件并直接注入内存执行。据安全报告指出:“设备中不会留存可识别的文件痕迹,极大降低用户发现风险。”
为逃避分析环境检测,该程序具备反调试能力,可在识别到模拟器或测试环境时立即终止行为。此外,它通过持续播放静音音频来维持后台活跃状态,绕过安卓系统的电量管理策略。
ARM架构专用挖矿负载悄然运行
激活后,恶意软件会从攻击者控制的服务器下载专为安卓手机常见ARM芯片优化的XMRig挖矿程序。受感染设备将接入指定矿池,在后台默默进行门罗币挖矿。
研究显示,挖矿活动并非恒定运行,而是依据实时监测的电池水平、设备温度、安装时长及是否处于使用状态动态调整启停逻辑,以减少被察觉概率。
木马功能扩展:远程操控与数据窃取
除挖矿外,部分变种还部署了功能强大的银行木马模块,支持对Chrome、Brave等主流浏览器进行监控。该模块可接收远程指令,执行屏幕录制、音频捕获、短信发送、键盘记录、设备锁定乃至数据擦除等操作。
所有指令均通过Firebase云消息服务接收,确保远程控制过程完全隐蔽,用户无任何感知。
攻击工具进化:转向远程访问平台
最新出现的样本虽仍沿用相同分发方式,但已将挖矿负载替换为名为BTMOB的远程访问工具。该工具在地下市场作为‘恶意软件即服务’(MaaS)出售,提供摄像头控制、位置追踪和账户凭证窃取等高级权限。
调查确认,所有已知受害者均集中于巴西,但新版本正借助WhatsApp及其它钓鱼链接扩散。BTMOB在YouTube与Telegram上广泛宣传,其销售和技术支持均由专属Telegram账号运营,显著降低了低技术门槛攻击者的参与门槛。