駭客模仿 Google Play 散布加密貨幣挖礦惡意軟體

駭客正透過新型網路釣魚計畫鎖定受害者。根據 SecureList 的一篇文章,駭客正在使用假冒的 Google Play 商店頁面在巴西傳播 Android 惡意軟體活動。

這個有害應用程式看起來像是合法下載,但一旦安裝,就會將受感染的手機轉變為加密貨幣挖礦機器。此外,它還被用於安裝銀行惡意軟體並授予威脅行為者遠端存取權限。

駭客將巴西智慧型手機轉變為加密貨幣挖礦機器

該活動始於一個與 Google Play 幾乎一模一樣的網路釣魚網站。其中一個頁面提供名為 INSS Reembolso 的假應用程式,聲稱與巴西的社會保障服務相關聯。UX/UI 設計複製了可信賴的政府服務和 Play 商店佈局,使下載看起來安全。

安裝假應用程式後,惡意軟體會分多個階段解壓隱藏代碼。它使用加密組件並將主要惡意代碼直接載入記憶體中。裝置上沒有可見的檔案,使用戶難以偵測到任何可疑活動。

該惡意軟體還會逃避資安研究人員的分析。它會檢查手機是否在模擬環境中運行。如果偵測到模擬環境,它就會停止運作。

成功安裝後,惡意軟體會繼續下載更多惡意檔案。它會顯示另一個假的 Google Play 風格畫面,然後顯示虛假的更新提示並促使使用者點擊更新按鈕。

其中一個檔案是加密貨幣挖礦程式,這是為 ARM 裝置編譯的 XMRig 版本。惡意軟體從攻擊者控制的基礎設施獲取挖礦負載。然後解密並在手機上運行。該負載將受感染的裝置連接到攻擊者控制的挖礦伺服器,在背景中默默挖掘加密貨幣。

該惡意軟體非常複雜,不會盲目挖礦。根據 SecureList 的分析,惡意軟體會監控電池電量百分比、溫度、安裝時長以及手機是否正在被主動使用。挖礦會根據監控數據啟動或停止。目標是保持隱藏並降低任何被偵測的可能性。

Android 會終止背景應用程式以節省電池,但惡意軟體透過循環播放幾乎靜音的音訊檔案來規避此機制。它偽裝成主動使用狀態以避免 Android 的自動停用。

為了繼續發送命令,惡意軟體使用 Firebase Cloud Messaging,這是 Google 的合法服務。這使攻擊者能夠輕鬆發送新指令並管理受感染裝置上的活動。

銀行木馬鎖定 USDT 轉帳

該惡意軟體的功能不僅限於挖礦。某些版本還會安裝銀行木馬,鎖定 Binance 和 Trust Wallet,特別是在 USDT 轉帳期間。它會在真實應用程式上覆蓋假畫面,然後悄悄地將錢包地址替換為攻擊者控制的地址。

銀行模組還會監控 Chrome 和 Brave 等瀏覽器,並支援廣泛的遠端命令。這些命令包括錄音、擷取螢幕、發送簡訊、鎖定裝置、清除資料和記錄按鍵。

其他近期樣本保持相同的假應用程式傳遞方式,但切換到不同的負載。它們會安裝 BTMOB RAT,這是在地下市場銷售的遠端存取工具。

BTMOB 是惡意軟體即服務(MaaS)生態系統的一部分。攻擊者可以購買或租用它,這降低了駭客攻擊和盜竊的門檻。該工具為攻擊者提供更深入的存取權限,包括螢幕錄製、相機存取、GPS 追蹤和憑證竊取。

BTMOB 在線上被積極推廣。一名威脅行為者在 YouTube 上分享了該惡意軟體的示範,展示如何控制受感染的裝置。銷售和支援透過 Telegram 帳號處理。

SecureList 表示,所有已知受害者都在巴西。一些較新的變種也透過 WhatsApp 和其他網路釣魚頁面傳播。

像這樣複雜的駭客攻擊活動提醒我們要驗證一切,不要輕信任何事物。

不要只是閱讀加密貨幣新聞。要理解它。訂閱我們的電子報。免費訂閱。