SecureList:駭客偽造 Google Play 商店頁面,針對巴西用戶實施加密貨幣挖礦與錢包劫持攻擊
14
3
深潮 TechFlow 訊息,3 月 22 日,據 SecureList 披露,駭客透過仿冒 Google Play 商店的釣魚頁面,在巴西發起 Android 惡意軟體攻擊活動。 目前所有已知受害者均位於巴西。
攻擊者建立了與 Google Play 高度相似的釣魚網站,誘導使用者下載名為"INSS Reembolso"的偽造應用程式。 應用程式安裝後,將分階段釋放隱藏惡意程式碼,並直接載入至記憶體運行,裝置上不留可見文件,具有較強的隱蔽性。
惡意軟體的核心功能之一為加密貨幣挖礦,內建針對 ARM 裝置編譯的 XMRig 挖礦程序,可在後台靜默連接攻擊者控制的挖礦伺服器。 該程式會監控電池電量、溫度及裝置使用狀態,動態調整挖礦行為以規避偵測,並透過循環播放靜音音訊檔案繞過 Android 系統的後台進程管理機制。
部分變種也內建銀行木馬,可在 Binance 和 Trust Wallet 的 USDT 轉帳介面疊加偽造頁面,靜默取代收款地址。 此外,惡意軟體支援錄音、截圖、鍵盤記錄及遠端鎖機等多項遠端控制指令。
來源:
