巴西 WhatsApp 蠕虫传播“永恒窃贼”银行木马，加密用户需高度警惕

近期，巴西的加密货币持有者正面临一场高度复杂的网络攻击活动。据网络安全公司 Trustwave 旗下研究团队 SpiderLabs 报告，一种名为“Eternidade Stealer”（永恒窃贼）的银行木马正通过 WhatsApp 消息大规模传播。攻击者利用社交工程手段，伪装成政府补助通知、快递信息、好友消息甚至虚假投资群组，诱导用户点击恶意链接。

SpiderLabs 研究员 Nathaniel Morales、John Basmayor 与 Nikita Kazymirskyi 指出：“WhatsApp 已成为巴西网络犯罪生态中最常被滥用的通信渠道之一。过去两年，攻击者不断优化策略，借助该平台的巨大用户基础，广泛分发银行木马和信息窃取类恶意软件。”

攻击机制：蠕虫与木马的双重夹击

一旦用户在 WhatsApp 中点击恶意链接，便会触发连锁反应：设备同时感染账户劫持蠕虫与 Eternidade Stealer 银行木马。

蠕虫如何运作？

该蠕虫会立即接管受害者的 WhatsApp 账户，并提取完整的联系人列表。为提高传播效率，它采用“智能过滤”机制——自动跳过企业账号和群组，仅针对个人联系人发送伪造消息，从而降低被察觉的风险。

银行木马的隐蔽入侵

与此同时，一个恶意文件会在后台自动下载并静默安装 Eternidade Stealer。该木马专门扫描设备中存储的敏感信息，包括多家巴西主流银行、金融科技平台及加密货币交易所和钱包的登录凭证与财务数据。

“这种恶意软件最值得注意的特点是：它使用硬编码的 Gmail 账号凭据登录邮箱，从中获取命令与控制（C2）服务器地址。这种方式使其能通过发送新邮件动态更新指令，极大增强了持久性和反检测能力。”

若无法连接指定邮箱，木马还会启用预设的备用 C2 地址，确保攻击链不中断。这种“邮箱中转”设计，有效规避了传统基于 IP 或域名的网络封锁策略。

为何巴西成为重灾区？

根据区块链分析平台 Chainalysis 发布的《2025 全球加密采用指数》，巴西不仅是拉丁美洲加密采用率最高的国家，更在全球前 20 名中位列第五。该指数综合考量了各国在加密服务使用频率、人口规模及购买力等维度的表现。

庞大的用户基数与活跃的数字金融生态，使巴西成为网络犯罪分子的重点目标。而 WhatsApp 在当地近乎全民使用的地位，进一步放大了此类攻击的破坏力。

用户该如何自我防护？

面对日益狡猾的社交工程攻击，普通用户必须提升警惕意识并采取主动防御措施：

• 慎点任何链接：即使来自熟人，也应通过其他通讯工具（如短信、电话或另一款聊天应用）二次确认。
• 警惕“无上下文”消息：例如突然收到“你的包裹到了”“政府补贴已发放”等缺乏背景信息的链接。
• 保持系统与应用更新：及时修补安全漏洞，防止攻击者利用旧版本缺陷入侵。
• 安装可靠的安全软件：部分反病毒工具可识别并拦截已知的恶意载荷。

若不幸中招，应立即冻结所有银行与加密资产账户，切断攻击者进一步操作的可能。同时，保留交易记录并向相关交易所或执法机构报告，有助于追踪资金流向，甚至协助冻结黑客钱包。

常见问题解答

如果朋友发来可疑链接，但他说没发过，该怎么办？

这很可能意味着他的 WhatsApp 账号已被蠕虫劫持。建议立即提醒他登出所有设备、修改密码并启用双重验证，同时你自己切勿点击该链接。

Eternidade Stealer 能窃取硬件钱包里的资产吗？

不能直接窃取。硬件钱包本身离线存储私钥，但若你在手机上使用配套应用查看余额或签名交易，木马可能记录助记词或交易细节。因此务必确保配套 App 来自官方渠道且设备未中毒。

为什么杀毒软件有时无法检测到这类木马？

因为攻击者常使用混淆技术、每日更新载荷或通过 Gmail 动态下发指令，使恶意代码行为难以被传统特征库识别。因此行为监控和用户警惕性同样关键。

WhatsApp 启用端到端加密，为何仍会被利用？

端到端加密保护的是消息内容传输过程，但无法阻止用户主动点击恶意链接。攻击发生在应用外部（如浏览器或下载的 APK 文件），因此加密本身无法防御此类社交工程攻击。

如何检查自己的设备是否已感染？

可观察是否有异常耗电、未知应用自动安装、WhatsApp 频繁登出，或银行 App 出现异常登录提醒。建议使用信誉良好的移动安全工具进行全盘扫描，并检查设备是否被授予不明应用“无障碍服务”权限。