Hakerzy naśladują Google Play, aby rozpowszechniać złośliwe oprogramowanie do kopania kryptowalut

Hakerzy atakują ofiary za pomocą nowego schematu phishingowego. Według wpisu z SecureList, hakerzy wykorzystują fałszywe strony Google Play Store do rozprzestrzeniania kampanii złośliwego oprogramowania na Androida w Brazylii.

Szkodliwa aplikacja wydaje się być legalnym pobieraniem, ale po zainstalowaniu zamienia zainfekowane telefony w maszyny do wydobywania kryptowalut. Ponadto jest wykorzystywana do instalowania złośliwego oprogramowania bankowego i przyznawania zdalnego dostępu atakującym.

Hakerzy zamieniają brazylijskie smartfony w maszyny do wydobywania kryptowalut

Kampania rozpoczyna się na stronie phishingowej, która wygląda niemal identycznie jak Google Play. Jedna ze stron oferuje fałszywą aplikację o nazwie INSS Reembolso, która rzekomo jest powiązana z brazylijską służbą ubezpieczeń społecznych. Projekt UX/UI kopiuje zaufaną usługę rządową i układ Play Store, aby pobranie wyglądało na bezpieczne.

Po zainstalowaniu fałszywej aplikacji złośliwe oprogramowanie rozpakowuje ukryty kod w wielu etapach. Wykorzystuje zaszyfrowane komponenty i ładuje główny złośliwy kod bezpośrednio do pamięci. Na urządzeniu nie ma widocznych plików, co utrudnia użytkownikom wykrycie jakiejkolwiek podejrzanej aktywności.

Złośliwe oprogramowanie unika również analizy przez badaczy bezpieczeństwa. Sprawdza, czy telefon działa w środowisku emulowanym. Jeśli je wykryje, przestaje działać.

Po pomyślnej instalacji złośliwe oprogramowanie kontynuuje pobieranie kolejnych złośliwych plików. Wyświetla kolejny fałszywy ekran w stylu Google Play, następnie pokazuje fałszywy monit o aktualizację i zmusza użytkownika do naciśnięcia przycisku aktualizacji.

Jednym z tych plików jest koparka kryptowalut, będąca wersją XMRig skompilowaną dla urządzeń ARM. Złośliwe oprogramowanie pobiera payload wydobywczy z infrastruktury kontrolowanej przez atakujących. Następnie odszyfrowuje go i uruchamia na telefonie. Payload łączy zainfekowane urządzenia z serwerami wydobywczymi kontrolowanymi przez atakujących, aby dyskretnie wydobywać kryptowaluty w tle.

Złośliwe oprogramowanie jest wyrafinowane i nie wydobywa kryptowalut na ślepo. Według analizy SecureList, złośliwe oprogramowanie monitoruje procent naładowania baterii, temperaturę, wiek instalacji i czy telefon jest aktywnie używany. Wydobywanie rozpoczyna się lub zatrzymuje w oparciu o monitorowane dane. Celem jest pozostanie ukrytym i zmniejszenie jakiejkolwiek szansy na wykrycie.

Android zabija aplikacje w tle, aby oszczędzać baterię, ale złośliwe oprogramowanie omija to, zapętlając niemal cichy plik dźwiękowy. Symuluje aktywne użytkowanie, aby uniknąć automatycznej dezaktywacji Androida.

Aby kontynuować wysyłanie poleceń, złośliwe oprogramowanie wykorzystuje Firebase Cloud Messaging, który jest legalną usługą Google. Ułatwia to atakującym wysyłanie nowych instrukcji i zarządzanie aktywnością na zainfekowanym urządzeniu.

Trojan bankowy atakuje przelewy USDT

Złośliwe oprogramowanie robi więcej niż tylko wydobywa monety. Niektóre wersje instalują również trojana bankowego, który atakuje Binance i Trust Wallet, szczególnie podczas przelewów USDT. Nakłada fałszywe ekrany na prawdziwe aplikacje, a następnie po cichu zastępuje adres portfela adresem kontrolowanym przez atakującego.

Moduł bankowy monitoruje również przeglądarki takie jak Chrome i Brave oraz obsługuje szeroki zakres zdalnych poleceń. Obejmują one nagrywanie dźwięku, przechwytywanie ekranów, wysyłanie wiadomości SMS, blokowanie urządzenia, usuwanie danych i rejestrowanie naciśnięć klawiszy.

Inne niedawne próbki zachowują tę samą metodę dostarczania fałszywych aplikacji, ale przełączają się na inny payload. Instalują BTMOB RAT, narzędzie zdalnego dostępu sprzedawane na podziemnych rynkach.

BTMOB jest częścią ekosystemu malware-as-a-Service (MaaS). Atakujący mogą go kupić lub wynająć, co obniża barierę dla włamań i kradzieży. Narzędzie daje atakującym głębszy dostęp, w tym nagrywanie ekranu, dostęp do kamery, śledzenie GPS i kradzież danych uwierzytelniających.

BTMOB jest aktywnie promowany online. Aktor zagrożenia udostępnił dema złośliwego oprogramowania na YouTube, pokazując, jak kontrolować zainfekowane urządzenia. Sprzedaż i wsparcie są obsługiwane przez konto Telegram.

SecureList stwierdził, że wszystkie znane ofiary znajdują się w Brazylii. Niektóre nowsze warianty rozprzestrzeniają się również przez WhatsApp i inne strony phishingowe.

Wyrafinowane kampanie hakerskie takie jak ta są przypomnieniem, aby wszystko weryfikować i niczemu nie ufać.

Nie tylko czytaj wiadomości o kryptowalutach. Zrozum je. Zapisz się do naszego newslettera. Jest darmowy.