Χάκερ μιμούνται το Google Play για να διαδώσουν κακόβουλο λογισμικό εξόρυξης κρυπτονομισμάτων

Οι χάκερ στοχεύουν θύματα μέσω ενός νέου σχήματος ηλεκτρονικού ψαρέματος. Σύμφωνα με μια ανάρτηση από το SecureList, οι χάκερ χρησιμοποιούν ψεύτικες σελίδες Google Play Store για να διαδώσουν μια εκστρατεία κακόβουλου λογισμικού Android στη Βραζιλία.

Η επιβλαβής εφαρμογή φαίνεται να είναι μια νόμιμη λήψη, αλλά μόλις εγκατασταθεί, μετατρέπει τα μολυσμένα τηλέφωνα σε μηχανές εξόρυξης κρυπτονομισμάτων. Επιπλέον, χρησιμοποιείται για την εγκατάσταση τραπεζικού κακόβουλου λογισμικού και την παροχή απομακρυσμένης πρόσβασης σε απειλητικούς παράγοντες.

Οι χάκερ μετατρέπουν βραζιλιάνικα smartphones σε μηχανές εξόρυξης κρυπτονομισμάτων

Η εκστρατεία ξεκινά σε έναν ιστότοπο ηλεκτρονικού ψαρέματος που μοιάζει σχεδόν πανομοιότυπος με το Google Play. Μία από τις σελίδες προσφέρει μια ψεύτικη εφαρμογή που ονομάζεται INSS Reembolso, η οποία ισχυρίζεται ότι συνδέεται με την υπηρεσία κοινωνικής ασφάλισης της Βραζιλίας. Ο σχεδιασμός UX/UI αντιγράφει μια αξιόπιστη κυβερνητική υπηρεσία και τη διάταξη του Play Store για να κάνει τη λήψη να φαίνεται ασφαλής.

Μετά την εγκατάσταση της ψεύτικης εφαρμογής, το κακόβουλο λογισμικό αποσυσκευάζει κρυφό κώδικα σε πολλαπλά στάδια. Χρησιμοποιεί κρυπτογραφημένα στοιχεία και φορτώνει τον κύριο κακόβουλο κώδικα απευθείας στη μνήμη. Δεν υπάρχουν ορατά αρχεία στη συσκευή, καθιστώντας δύσκολο για τους χρήστες να εντοπίσουν οποιαδήποτε ύποπτη δραστηριότητα.

Το κακόβουλο λογισμικό αποφεύγει επίσης την ανάλυση από ερευνητές ασφαλείας. Ελέγχει εάν το τηλέφωνο εκτελείται σε εξομοιωμένο περιβάλλον. Εάν ανιχνεύσει ένα, σταματά να λειτουργεί.

Μετά την επιτυχημένη εγκατάσταση, το κακόβουλο λογισμικό συνεχίζει να κατεβάζει περισσότερα κακόβουλα αρχεία. Εμφανίζει μια άλλη ψεύτικη οθόνη τύπου Google Play, στη συνέχεια εμφανίζει μια ψευδή προτροπή ενημέρωσης και πιέζει τον χρήστη να πατήσει το κουμπί ενημέρωσης.

Ένα από αυτά τα αρχεία είναι ένας εξορύκτης κρυπτονομισμάτων, που είναι μια έκδοση του XMRig μεταγλωττισμένη για συσκευές ARM. Το κακόβουλο λογισμικό ανακτά το ωφέλιμο φορτίο εξόρυξης από υποδομή ελεγχόμενη από τους επιτιθέμενους. Στη συνέχεια το αποκρυπτογραφεί και το εκτελεί στο τηλέφωνο. Το ωφέλιμο φορτίο συνδέει τις μολυσμένες συσκευές σε διακομιστές εξόρυξης που ελέγχονται από τους επιτιθέμενους για να εξορύξουν κρυπτονομίσματα σιωπηλά στο παρασκήνιο.

Το κακόβουλο λογισμικό είναι εξελιγμένο και δεν εξορύσσει κρυπτονομίσματα τυφλά. Σύμφωνα με την ανάλυση του SecureList, το κακόβουλο λογισμικό παρακολουθεί το ποσοστό φόρτισης της μπαταρίας, τη θερμοκρασία, την ηλικία εγκατάστασης και εάν το τηλέφωνο χρησιμοποιείται ενεργά. Η εξόρυξη ξεκινά ή σταματά με βάση τα δεδομένα παρακολούθησης. Ο στόχος είναι να παραμείνει κρυφό και να μειώσει οποιαδήποτε πιθανότητα ανίχνευσης.

Το Android τερματίζει εφαρμογές παρασκηνίου για εξοικονόμηση μπαταρίας, αλλά το κακόβουλο λογισμικό το αποφεύγει αναπαράγοντας σε βρόχο ένα σχεδόν σιωπηλό αρχείο ήχου. Προσποιείται ενεργή χρήση για να αποφύγει την αυτόματη απενεργοποίηση του Android.

Για να συνεχίσει να στέλνει εντολές, το κακόβουλο λογισμικό χρησιμοποιεί το Firebase Cloud Messaging, που είναι μια νόμιμη υπηρεσία της Google. Αυτό διευκολύνει τους επιτιθέμενους να στέλνουν νέες οδηγίες και να διαχειρίζονται τη δραστηριότητα στη μολυσμένη συσκευή.

Το Banking Trojan στοχεύει μεταφορές USDT

Το κακόβουλο λογισμικό κάνει περισσότερα από το να εξορύσσει νομίσματα. Ορισμένες εκδόσεις εγκαθιστούν επίσης ένα τραπεζικό Trojan που στοχεύει το Binance και το Trust Wallet, ειδικά κατά τη διάρκεια μεταφορών USDT. Επικαλύπτει ψεύτικες οθόνες πάνω από τις πραγματικές εφαρμογές, στη συνέχεια αντικαθιστά διακριτικά τη διεύθυνση του πορτοφολιού με μία που ελέγχεται από τον επιτιθέμενο.

Η τραπεζική ενότητα παρακολουθεί επίσης προγράμματα περιήγησης όπως το Chrome και το Brave και υποστηρίζει ένα ευρύ φάσμα απομακρυσμένων εντολών. Αυτές περιλαμβάνουν εγγραφή ήχου, λήψη οθονών, αποστολή μηνυμάτων SMS, κλείδωμα της συσκευής, διαγραφή δεδομένων και καταγραφή πληκτρολογήσεων.

Άλλα πρόσφατα δείγματα διατηρούν την ίδια μέθοδο παράδοσης ψεύτικης εφαρμογής αλλά αλλάζουν σε διαφορετικό ωφέλιμο φορτίο. Εγκαθιστούν το BTMOB RAT, ένα εργαλείο απομακρυσμένης πρόσβασης που πωλείται σε υπόγειες αγορές.

Το BTMOB είναι μέρος ενός οικοσυστήματος κακόβουλου λογισμικού ως υπηρεσίας (MaaS). Οι επιτιθέμενοι μπορούν να το αγοράσουν ή να το νοικιάσουν, γεγονός που μειώνει το εμπόδιο στο χάκινγκ και την κλοπή. Το εργαλείο δίνει στους επιτιθέμενους βαθύτερη πρόσβαση, συμπεριλαμβανομένης της εγγραφής οθόνης, της πρόσβασης στην κάμερα, της παρακολούθησης GPS και της κλοπής διαπιστευτηρίων.

Το BTMOB προωθείται ενεργά στο διαδίκτυο. Ένας απειλητικός παράγοντας μοιράστηκε επιδείξεις του κακόβουλου λογισμικού στο YouTube, δείχνοντας πώς να ελέγχετε μολυσμένες συσκευές. Οι πωλήσεις και η υποστήριξη διεκπεραιώνονται μέσω ενός λογαριασμού Telegram.

Το SecureList δήλωσε ότι όλα τα γνωστά θύματα βρίσκονται στη Βραζιλία. Ορισμένες νεότερες παραλλαγές διαδίδονται επίσης μέσω WhatsApp και άλλων σελίδων ηλεκτρονικού ψαρέματος.

Εξελιγμένες εκστρατείες χάκινγκ όπως αυτή είναι υπενθυμίσεις να επαληθεύετε τα πάντα και να μην εμπιστεύεστε τίποτα.

Μην απλώς διαβάζετε ειδήσεις κρυπτονομισμάτων. Κατανοήστε τις. Εγγραφείτε στο ενημερωτικό μας δελτίο. Είναι δωρεάν.