巴西爆发定向安卓钓鱼攻击,伪装应用植入隐蔽挖矿模块
3月22日,据SecureList披露,一场针对巴西地区的新型Android恶意软件攻击活动近期被曝光。所有已确认受感染设备均集中于该国境内,攻击者利用高度仿真的谷歌应用商店界面作为诱饵,实施精准渗透。
伪造应用伪装合法服务,实现无痕内存驻留
攻击者部署了与Google Play界面高度一致的钓鱼站点,诱导用户下载名为“INSS Reembolso”的虚假应用程序。安装后,恶意代码以分阶段加载方式注入系统内存,全程不生成持久化文件,极大增强隐蔽性,难以被常规安全工具识别。
内置挖矿引擎动态调节行为,规避系统监控机制
该恶意程序核心功能为加密货币挖矿,集成专为ARM架构优化的XMRig挖矿组件,可后台连接攻击者指定矿池。其行为具备自适应特性,会实时监测电池状态、设备温度及使用频率,并据此调整算力输出强度,避免触发异常警报。同时,通过循环播放静音音频文件,绕过Android系统的后台进程限制。
扩展攻击能力覆盖金融欺诈与远程控制
部分变种还嵌入银行木马模块,能在特定中心化交易所和钱包应用的USDT转账界面叠加伪造弹窗,自动替换收款地址,实现资金窃取。此外,程序支持远程执行录音、截屏、键盘记录及锁机等指令,形成完整的设备控制链路。
