黑客利用假冒的Google Play进行加密货币挖矿并窃取资金

Traders Union
所有新闻
加密货币
黑客使用伪造的 Google Play

所有新闻

头条新闻

编辑精选

加密货币

财经新闻

货币

市场之声

中央银行

Sergey Shendetskyi

22.03.2026

黑客利用假冒的Google Play进行加密货币挖矿并窃取资金 — 安卓用户成为虚假应用程序的目标

巴西检测到针对安卓用户的新恶意活动。攻击者将钓鱼页面伪装成官方谷歌应用商店（Google Play Store）并分发应用程序，这些应用程序一旦安装，就会被用于隐蔽的加密货币挖掘和资金盗窃。

本文翻译自原文。点击此处阅读由我们的通讯员撰写的原文.

根据Cryptopolitan 的报道，这种攻击结合了社交工程和复杂的技术方法，即使有经验的用户也很难察觉。

攻击如何运作

正如 SecureList 所指出的，该活动从一个钓鱼网站开始，该网站模仿 Google Play 界面。网站会提示用户下载一个名为 INSS Reembolso 的应用程序，据称该应用程序与巴西的社会保障系统有关。

恶意软件安装后会分阶段部署：首先下载加密组件，然后直接在设备内存中执行主要有效载荷。这种方法不会留下任何可见文件，使用户无法察觉其活动。

恶意软件还会检查是否在仿真环境中运行，如果检测到分析，就会关闭。一旦设备被认为是 "安全的"，它就会加载其他模块，包括一个基于 XMRig 的适用于 ARM 设备的矿工。它将智能手机连接到攻击者控制的基础设施，并在后台挖掘加密货币。

为了不被发现，该程序会监控电池电量、温度和用户活动等设备条件，只有在合适的条件下才会激活挖矿。它还通过播放几乎听不到的音频文件来模拟应用程序活动，从而绕过安卓限制。

盗窃和远程访问

恶意软件的功能远不止挖矿。在某些情况下，它安装了针对 Binance 和 Trust Wallet 用户的银行木马，尤其是在USDT交易期间。

恶意软件会在合法应用程序上覆盖虚假界面，并悄无声息地替换钱包地址。结果，资金在用户不知情的情况下被重定向。

此外，受感染的设备还可用于录音、截图、发送短信和记录用户活动。指挥和控制是通过 Firebase Cloud Messaging（一项合法的谷歌服务）进行的，这增加了检测难度。

一些变种还部署了 BTMOB，这是一种以恶意软件即服务模式分发的远程访问工具。它使攻击者能够完全控制设备，包括访问摄像头、GPS 和凭证。

为什么这对市场很重要

巴西的案例凸显了加密行业的威胁是如何演变的。虽然早期的风险主要与协议漏洞有关，但攻击者现在越来越多地通过网络钓鱼、伪造界面和社交工程等手段来攻击用户。

此类阴谋正变得越来越普遍。BTMOB 等 MaaS 工具降低了进入门槛，加速了攻击的传播。因此，即使使用可信平台也不能保证安全。

对于公司来说，这意味着不仅要投资基础设施安全，还要投资保护用户互动--从警告到监控假冒域名。Binance 和谷歌已经在扩大这方面的努力，但攻击者仍在快速适应。

对于用户来说，我们要做的很清楚：验证来源和避免第三方链接至关重要。随着网络钓鱼日益猖獗，提高警惕成为首要防线。

与此同时，风险也在生态系统中不断扩大。谷歌最近发现了针对加密钱包种子短语的 iOS 漏洞。谷歌威胁情报小组的研究人员发现了一个名为 "Coruna "的工具包，该工具包旨在入侵运行 iOS 13.0 到 17.2.1 版本的 iPhone。这证实了攻击正变得跨平台，无论用户使用何种系统都会受到影响。

此材料可能包含第三方意见，根据我们的免责声明，本网页上的数据和信息均不构成投资建议。尽管我们坚持严格的编辑完整性，但此帖子可能包含对我们合作伙伴产品的引用。

你喜欢这篇文章吗？