仿冒应用潜伏安卓系统：挖矿与窃密双面攻击

虚假应用传播路径：以政府名义诱导下载

攻击活动始于高度仿真的钓鱼网页，其中一款名为“INSS Reembolso”的应用伪装为巴西社会保障服务官方工具。其界面设计复刻了可信政府机构与正规应用商店布局，诱导用户误信并完成安装。

恶意代码隐蔽部署：无文件攻击规避检测

一旦安装，恶意软件将分阶段解包隐藏代码，采用加密组件并将核心逻辑载入内存。研究指出：“设备上不会留下可见文件，使用户难以察觉异常活动。”

该程序具备反分析能力，可识别模拟运行环境并在检测到时停止行为。同时，它通过循环播放静音音频来伪造活跃状态，绕过安卓系统的后台节能机制。

动态挖矿策略：基于设备状态智能启停

激活后，软件从攻击者控制的服务器获取专为安卓ARM架构编译的XMRig挖矿负载。其挖矿行为会根据电池电量、温度、使用状态等参数动态调整，确保在不触发用户警觉的前提下持续运行。

银行木马升级：针对币安与Trust Wallet的精准劫持

部分变种植入专门针对币安和Trust Wallet用户的银行木马模块。在用户执行USDT转账时，该模块会在真实应用界面之上叠加伪造页面，悄然替换收款地址为攻击者控制账户。

此外，木马支持远程指令集，包括屏幕录制、音频捕获、短信发送、键盘记录、设备锁定及数据清除。所有操作均通过Firebase云消息服务接收指令，全程隐蔽执行。

攻击工具演进：从挖矿到远程控制的全面渗透

近期样本已将挖矿负载替换为BTMOB远程访问工具。该工具在地下市场以“恶意软件即服务”形式出售，提供摄像头控制、GPS定位、凭证窃取等深度权限。

尽管目前所有确认受害者均位于巴西，但新变种正借助WhatsApp及其他钓鱼页面扩散。其推广渠道涵盖YouTube与Telegram，技术支持通过专用账号提供，显著降低攻击门槛。