हैकर्स क्रिप्टो माइनिंग मैलवेयर फैलाने के लिए Google Play की नकल करते हैं

हैकर्स एक नई फ़िशिंग योजना के माध्यम से पीड़ितों को निशाना बना रहे हैं। SecureList की एक पोस्ट के अनुसार, हैकर्स ब्राज़ील में एक Android मैलवेयर अभियान फैलाने के लिए नकली Google Play Store पेजों का उपयोग कर रहे हैं।

हानिकारक ऐप एक वैध डाउनलोड प्रतीत होता है, लेकिन एक बार इंस्टॉल हो जाने के बाद, यह संक्रमित फोन को क्रिप्टो माइनिंग मशीनों में बदल देता है। इसके अलावा, इसका उपयोग बैंकिंग मैलवेयर इंस्टॉल करने और खतरे वाले अभिनेताओं को रिमोट एक्सेस प्रदान करने के लिए किया जाता है।

हैकर्स ब्राज़ीलियाई स्मार्टफोन को क्रिप्टो माइनिंग मशीनों में बदल रहे हैं

यह अभियान एक फ़िशिंग वेबसाइट पर शुरू होता है जो Google Play के लगभग समान दिखती है। पेजों में से एक INSS Reembolso नामक एक नकली ऐप प्रदान करता है, जो ब्राज़ील की सामाजिक सुरक्षा सेवा से जुड़ा होने का दावा करता है। UX/UI डिज़ाइन एक विश्वसनीय सरकारी सेवा और Play Store लेआउट की नकल करता है ताकि डाउनलोड सुरक्षित दिखाई दे।

नकली ऐप इंस्टॉल करने के बाद, मैलवेयर कई चरणों में छिपे हुए कोड को अनपैक करता है। यह एन्क्रिप्टेड घटकों का उपयोग करता है और मुख्य दुर्भावनापूर्ण कोड को सीधे मेमोरी में लोड करता है। डिवाइस पर कोई दृश्यमान फ़ाइलें नहीं होती हैं, जिससे उपयोगकर्ताओं के लिए किसी संदिग्ध गतिविधि का पता लगाना मुश्किल हो जाता है।

मैलवेयर सुरक्षा शोधकर्ताओं द्वारा विश्लेषण से भी बचता है। यह जांचता है कि क्या फोन एक एम्युलेटेड वातावरण में चल रहा है। यदि यह एक का पता लगाता है, तो यह काम करना बंद कर देता है।

सफल इंस्टॉलेशन के बाद, मैलवेयर अधिक दुर्भावनापूर्ण फ़ाइलों को डाउनलोड करना जारी रखता है। यह एक और नकली Google Play-शैली की स्क्रीन दिखाता है, फिर एक गलत अपडेट प्रॉम्प्ट प्रदर्शित करता है और उपयोगकर्ता को अपडेट बटन टैप करने के लिए प्रेरित करता है।

उन फ़ाइलों में से एक क्रिप्टो माइनर है, जो ARM डिवाइसों के लिए संकलित XMRig का एक संस्करण है। मैलवेयर हमलावर-नियंत्रित बुनियादी ढांचे से माइनिंग पेलोड प्राप्त करता है। फिर यह इसे डिक्रिप्ट करता है और फोन पर चलाता है। पेलोड संक्रमित डिवाइसों को हमलावरों द्वारा नियंत्रित माइनिंग सर्वरों से जोड़ता है ताकि पृष्ठभूमि में चुपचाप क्रिप्टो माइन किया जा सके।

मैलवेयर परिष्कृत है और अंधाधुंध क्रिप्टो माइन नहीं करता है। SecureList के विश्लेषण के अनुसार, मैलवेयर बैटरी चार्ज प्रतिशत, तापमान, इंस्टॉलेशन की आयु, और क्या फोन सक्रिय रूप से उपयोग किया जा रहा है, की निगरानी करता है। निगरानी किए गए डेटा के आधार पर माइनिंग शुरू या बंद होती है। लक्ष्य छिपे रहना और पता लगने की किसी भी संभावना को कम करना है।

Android बैटरी बचाने के लिए बैकग्राउंड ऐप्स को मार देता है, लेकिन मैलवेयर लगभग साइलेंट ऑडियो फ़ाइल को लूप करके इससे बचता है। यह Android के ऑटो-डिएक्टिवेशन से बचने के लिए सक्रिय उपयोग का नकल करता है।

कमांड भेजना जारी रखने के लिए, मैलवेयर Firebase Cloud Messaging का उपयोग करता है, जो एक वैध Google सेवा है। यह हमलावरों के लिए नए निर्देश भेजना और संक्रमित डिवाइस पर गतिविधि प्रबंधित करना आसान बनाता है।

बैंकिंग ट्रोजन USDT ट्रांसफर को निशाना बनाता है

मैलवेयर सिक्के माइन करने से अधिक करता है। कुछ संस्करण एक बैंकिंग ट्रोजन भी इंस्टॉल करते हैं जो Binance और Trust Wallet को निशाना बनाता है, विशेष रूप से USDT ट्रांसफर के दौरान। यह वास्तविक ऐप्स के ऊपर नकली स्क्रीन ओवरले करता है, फिर चुपचाप वॉलेट एड्रेस को हमलावर द्वारा नियंत्रित एक के साथ बदल देता है।

बैंकिंग मॉड्यूल Chrome और Brave जैसे ब्राउज़रों की भी निगरानी करता है और रिमोट कमांड की एक विस्तृत श्रृंखला का समर्थन करता है। इनमें ऑडियो रिकॉर्ड करना, स्क्रीन कैप्चर करना, SMS संदेश भेजना, डिवाइस को लॉक करना, डेटा मिटाना और कीस्ट्रोक लॉग करना शामिल है।

अन्य हालिया नमूने समान नकली ऐप वितरण विधि को बनाए रखते हैं लेकिन एक अलग पेलोड पर स्विच करते हैं। वे BTMOB RAT इंस्टॉल करते हैं, एक रिमोट एक्सेस टूल जो भूमिगत बाज़ारों में बेचा जाता है।

BTMOB एक मैलवेयर-एज़-ए-सर्विस (MaaS) इकोसिस्टम का हिस्सा है। हमलावर इसे खरीद या किराए पर ले सकते हैं, जो हैकिंग और चोरी की बाधा को कम करता है। यह टूल हमलावरों को गहरी पहुंच देता है, जिसमें स्क्रीन रिकॉर्डिंग, कैमरा एक्सेस, GPS ट्रैकिंग और क्रेडेंशियल चोरी शामिल है।

BTMOB को ऑनलाइन सक्रिय रूप से प्रचारित किया जाता है। एक खतरे वाले अभिनेता ने YouTube पर मैलवेयर के डेमो साझा किए, जो संक्रमित डिवाइसों को नियंत्रित करने का तरीका दिखाते हैं। बिक्री और समर्थन एक Telegram अकाउंट के माध्यम से संभाला जाता है।

SecureList ने कहा कि सभी ज्ञात पीड़ित ब्राज़ील में हैं। कुछ नए वेरिएंट WhatsApp और अन्य फ़िशिंग पेजों के माध्यम से भी फैल रहे हैं।

इस तरह के परिष्कृत हैकिंग अभियान सब कुछ सत्यापित करने और कुछ भी विश्वास न करने की याद दिलाते हैं।

केवल क्रिप्टो समाचार न पढ़ें। इसे समझें। हमारे न्यूज़लेटर को सब्सक्राइब करें। यह मुफ़्त है।