Hackers imitam Google Play para espalhar malware de mineração de criptomoedas

Os hackers estão a visar vítimas através de um novo esquema de phishing. De acordo com uma publicação da SecureList, os hackers estão a usar páginas falsas da Google Play Store para espalhar uma campanha de malware Android no Brasil.

A aplicação prejudicial parece ser uma transferência legítima, mas uma vez instalada, converte os telemóveis infetados em máquinas de mineração na nuvem. Além disso, é usada para instalar malware bancário e conceder acesso remoto aos agentes de ameaças.

Hackers transformam smartphones brasileiros em máquinas de mineração na nuvem

A campanha começa num site de phishing que parece quase idêntico ao Google Play. Uma das páginas oferece uma aplicação falsa chamada INSS Reembolso, que afirma estar ligada ao serviço de segurança social do Brasil. O design UX/UI copia um serviço governamental de confiança e o layout da Play Store para fazer com que a transferência pareça segura.

Após instalar a aplicação falsa, o malware descompacta código oculto em várias etapas. Utiliza componentes encriptados e carrega o código malicioso principal diretamente na memória. Não há ficheiros visíveis no dispositivo, tornando difícil para os utilizadores detetarem qualquer atividade suspeita.

O malware também evita análises por investigadores de segurança. Verifica se o telemóvel está a ser executado num ambiente emulado. Se detetar um, deixa de funcionar.

Após a instalação bem-sucedida, o malware continua a transferir mais ficheiros maliciosos. Mostra outro ecrã falso no estilo Google Play, depois exibe uma solicitação de atualização falsa e pressiona o utilizador a tocar no botão de atualização.

Um desses ficheiros é um minerador de criptomoedas, que é uma versão do XMRig compilada para dispositivos ARM. O malware obtém o payload de mineração de infraestruturas controladas pelos atacantes. Em seguida, desencripta-o e executa-o no telemóvel. O payload conecta dispositivos infetados a servidores de mineração controlados pelos atacantes para minerar criptomoedas silenciosamente em segundo plano.

O malware é sofisticado e não minera criptomoedas às cegas. De acordo com a análise da SecureList, o malware monitoriza a percentagem de carga da bateria, temperatura, idade da instalação e se o telemóvel está a ser ativamente usado. A mineração começa ou para com base nos dados monitorizados. O objetivo é permanecer oculto e reduzir qualquer possibilidade de deteção.

O Android encerra aplicações em segundo plano para poupar bateria, mas o malware evita isto ao reproduzir em loop um ficheiro de áudio quase silencioso. Simula uso ativo para evitar a desativação automática do Android.

Para continuar a enviar comandos, o malware usa o Firebase Cloud Messaging, que é um serviço legítimo da Google. Isto facilita aos atacantes o envio de novas instruções e a gestão da atividade no dispositivo infetado.

Trojan bancário visa transferências USDT

O malware faz mais do que minerar moedas. Algumas versões também instalam um Trojan bancário que visa a Binance e a Trust Wallet, especialmente durante transferências USDT. Sobrepõe ecrãs falsos sobre as aplicações reais, depois substitui silenciosamente o endereço da carteira por um controlado pelo atacante.

O módulo bancário também monitoriza navegadores como o Chrome e o Brave e suporta uma ampla gama de comandos remotos. Estes incluem gravar áudio, capturar ecrãs, enviar mensagens SMS, bloquear o dispositivo, apagar dados e registar teclas pressionadas.

Outras amostras recentes mantêm o mesmo método de entrega de aplicação falsa, mas mudam para um payload diferente. Instalam o BTMOB RAT, uma ferramenta de acesso remoto vendida em mercados clandestinos.

O BTMOB faz parte de um ecossistema de malware-as-a-Service (MaaS). Os atacantes podem comprá-lo ou alugá-lo, o que reduz a barreira ao hacking e roubo. A ferramenta dá aos atacantes um acesso mais profundo, incluindo gravação de ecrã, acesso à câmara, rastreamento GPS e roubo de credenciais.

O BTMOB é ativamente promovido online. Um agente de ameaças partilhou demonstrações do malware no YouTube, mostrando como controlar dispositivos infetados. As vendas e suporte são geridos através de uma conta do Telegram.

A SecureList afirmou que todas as vítimas conhecidas estão no Brasil. Algumas variantes mais recentes também estão a espalhar-se através do WhatsApp e outras páginas de phishing.

Campanhas de hacking sofisticadas como esta são lembretes para verificar tudo e não confiar em nada.

Não se limite a ler notícias sobre criptomoedas. Compreenda-as. Subscreva a nossa newsletter. É gratuita.