【安全资讯】巴西遭遇新型安卓恶意软件攻击：仿冒政府与星链应用窃取银行凭证并挖矿

概要：

近期，巴西遭遇一场复杂的安卓恶意软件攻击，攻击者利用仿冒的政府服务门户和星链（Starlink）卫星互联网应用作为诱饵，传播名为BeatBanker的恶意软件。该恶意软件不仅秘密挖掘门罗币（Monero），还窃取银行凭证并篡改加密货币交易，对个人金融安全和设备性能构成严重威胁。

主要内容：

卡巴斯基的研究人员发现，BeatBanker恶意软件通过伪装成巴西政府门户INSS Reembolso和星链官方应用的虚假应用进行传播。这些应用从一个仿冒Google Play商店的网站提供下载，诱骗用户安装。

一旦安装，恶意软件会秘密执行门罗币挖矿程序，消耗设备电力和算力。为保持隐蔽，它会监控电池温度、电量和用户活动，以决定何时启动或停止挖矿。更独特的是，它通过持续播放一段近乎无声的音频文件，防止安卓系统因应用不活动而将其终止。

除了挖矿，BeatBanker还具备银行木马功能。当受害者尝试使用币安或Trust Wallet等应用发送USDT时，它会覆盖交易界面，将收款地址替换为攻击者控制的地址，从而劫持资金。

研究人员还发现了该活动的另一个变种，使用虚假星链应用传播名为BTMOB的远程访问木马（RAT）。BTMOB以恶意软件即服务（MaaS）模式出售，可让攻击者完全远程控制受害者的手机，访问摄像头、键盘记录、GPS位置等敏感数据。所有已观测到的BeatBanker感染案例均发生在巴西，部分BTMOB样本通过WhatsApp消息和钓鱼页面传播。