黑客偽造 Google Play 商店頁面，針對巴西用戶實施加密貨幣挖礦與錢包劫持攻擊

ChainCatcher 消息，黑客透過仿冒 Google Play 商店的釣魚頁面，在巴西發起 Android 惡意軟體攻擊活動。目前所有已知受害者均位於巴西。

攻擊者搭建了與 Google Play 高度相似的釣魚網站，誘導用戶下載名為"INSS Reembolso"的偽造應用。該應用安裝後，將分階段釋放隱藏惡意代碼，並直接加載至內存運行，設備上不留可見文件，具有較強的隱蔽性。惡意軟體的核心功能之一為加密貨幣挖礦，內置針對 ARM 設備編譯的 XMRig 挖礦程序，可在背景靜默連接攻擊者控制的挖礦伺服器。該程序會監控電池電量、溫度及設備使用狀態，動態調整挖礦行為以規避檢測，並透過循環播放靜音音頻文件繞過 Android 系統的背景進程管理機制。

部分變種還內置銀行木馬，可在 Binance 和 Trust Wallet 的 USDT 轉帳介面疊加偽造頁面，靜默替換收款地址。此外，惡意軟體支持錄音、截屏、鍵盤記錄及遠程鎖機等多項遠程控制指令。