黑客正滥用一个名为MiningDropper的模块化安卓框架，在受感染设备上挖掘加密货币并静默安装信息窃取程序、远程访问木马（RAT）和银行恶意软件。该框架采用多层架构，包括XOR混淆的原生代码、AES加密的载荷、动态DEX加载和反模拟器检查，旨在规避杀毒引擎并延迟研究人员分析。Cyble Research and Intelligence Labs (CRIL) 监测到其使用量激增，野外已发现超过1500个样本，其中超半数杀毒软件检出率极低。 感染链始于受害者安装被篡改的开源Lumolight手电筒应用。随后，应用加载包含混淆字符串和设备检查的原生库，若环境正常，则解密资产并加载第一阶段DEX文件。该引导加载程序会解密并加载第二阶段DEX，显示虚假的Google Play风格更新界面以分散用户注意，同时解密更多配置和载荷。第三阶段载荷作为分体APK安装程序，根据配置文件从多个加密“分体”中重建最终的恶意软件包。配置值决定框架是优先激活挖矿模块还是直接加载如BTMOB RAT等“用户载荷”。 目前至少存在两个主要攻击集群：一个针对印度用户，利用地区运输办公室（RTO）服务、银行和电信提供商主题的诱饵进行传播；另一个则针对欧洲、拉丁美洲和亚洲用户，最终载荷为BTMOB RAT。BTMOB RAT是一种源自SpySolr的高级安卓木马，具备凭证窃取、键盘记录、滥用无障碍功能接管设备、实时屏幕流传输、文件操作、录音以及通过网页注入和基于WebSocket的C2控制进行金融欺诈的能力。这种将加载器与最终载荷分离、通过配置驱动行为的模式，使MiningDropper更像一个“恶意软件即框架”，允许威胁行为体快速更换新的RAT或银行木马。