资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
虚假应用将手机变为加密挖矿设备
近期有攻击者通过仿冒谷歌应用商店的钓鱼网页在巴西传播恶意软件。这些软件伪装成合法应用,一旦安装便会在受感染的安卓设备上静默运行加密挖矿程序,同时规避电池检测机制。
银行木马针对币安与Trust Wallet用户
该恶意软件的部分变种还会部署银行木马,主要针对币安和Trust Wallet用户。在进行USDT转账时,木马会在真实应用界面之上覆盖虚假页面,暗中将收款钱包地址替换为攻击者控制的地址。
据安全研究报告显示,黑客通过精心仿造的钓鱼网站分发看似正规的应用。这些应用在安装后会将受感染手机转化为隐蔽的加密挖矿设备。目前该攻击活动仅针对巴西用户,但新变种已开始通过WhatsApp及其他钓鱼渠道扩散。
虚假应用的传播机制
攻击始于高度模仿谷歌应用商店的钓鱼网站。其中一款仿冒应用名为“INSS Reembolso”,声称与巴西社会保障服务相关。其设计抄袭了可信的政府品牌形象与应用商店布局,使下载过程对用户显得安全无虞。
用户安装虚假应用后,恶意软件会分多个阶段解包隐藏代码。它采用加密组件,并将核心恶意代码直接载入手机内存。研究报告指出:“设备上不会留下可见文件,使用户难以察觉异常活动。”
该恶意软件还具备规避安全研究检测的能力。它会检查手机是否运行在模拟环境中,并在检测到此类环境时停止所有活动。这种反分析技术增加了实验室研究的难度。安卓系统通常会终止后台应用以节省电量,但恶意软件通过循环播放静音音频文件来伪装活跃状态。
隐蔽挖矿的实施方式
当恶意软件完全激活后,会从攻击者控制的基础设施获取加密挖矿负载。该负载是专为安卓手机常见的ARM设备编译的XMRig版本。受感染设备会连接矿池服务器,在后台静默进行加密货币挖矿。
研究报告表明:“恶意软件会持续监测电池电量百分比、设备温度、安装时长以及手机是否处于主动使用状态。”挖矿行为将根据这些数据动态启停。
银行木马的扩展功能
除了加密挖矿,部分恶意软件变种还安装了针对币安与Trust Wallet的银行木马。该木马模块还会监控包括Chrome和Brave在内的常用浏览器。研究确认该模块“支持广泛的远程指令”,涵盖屏幕录制、音频捕获、短信发送、键盘记录、设备锁定和数据清除等功能。
此外,木马通过Firebase云消息服务接收攻击者指令。所有操作均在用户毫无察觉的情况下远程执行。
攻击工具的演变
近期出现的其他样本采用相同的虚假应用分发方式,但将负载替换为BTMOB远程访问工具。这款在地下市场作为恶意软件即服务出售的工具能提供更深层的设备访问权限,包括摄像头控制、GPS定位和凭证窃取。
研究证实“所有已知受害者均位于巴西”,但新变种已开始通过WhatsApp及其他钓鱼页面传播。BTMOB在YouTube和Telegram等网络平台被积极推广,其销售与技术支持均通过专用Telegram账号进行,这降低了技术能力较弱攻击者的参与门槛。
