Hackerii imită Google Play pentru a răspândi malware de mining cripto

Hackerii vizează victime prin intermediul unei noi scheme de phishing. Conform unei postări de la SecureList, hackerii folosesc pagini false Google Play Store pentru a răspândi o campanie de malware Android în Brazilia.

Aplicația dăunătoare pare a fi o descărcare legitimă, dar odată instalată, transformă telefoanele infectate în mașini de mining cripto. Mai mult, este folosită pentru a instala malware bancar și pentru a acorda acces la distanță actorilor de amenințare.

Hackerii transformă smartphone-urile braziliene în mașini de mining cripto

Campania începe pe un site web de phishing care arată aproape identic cu Google Play. Una dintre pagini oferă o aplicație falsă numită INSS Reembolso, care pretinde că este legată de serviciul de securitate socială din Brazilia. Designul UX/UI copiază un serviciu guvernamental de încredere și aspectul Play Store pentru a face descărcarea să pară sigură.

După instalarea aplicației false, malware-ul despachetează cod ascuns în mai multe etape. Folosește componente criptate și încarcă codul malițios principal direct în memorie. Nu există fișiere vizibile pe dispozitiv, ceea ce face dificil pentru utilizatori să detecteze orice activitate suspectă.

Malware-ul evită, de asemenea, analiza cercetătorilor în securitate. Verifică dacă telefonul rulează într-un mediu emulat. Dacă detectează unul, încetează să funcționeze.

După instalarea reușită, malware-ul continuă să descarce mai multe fișiere malițioase. Afișează un alt ecran în stil Google Play fals, apoi afișează o solicitare de actualizare falsă și împinge utilizatorul să apese butonul de actualizare.

Unul dintre acele fișiere este un miner cripto, care este o versiune XMRig compilată pentru dispozitive ARM. Malware-ul preia payload-ul de mining de la infrastructura controlată de atacatori. Apoi îl decriptează și îl rulează pe telefon. Payload-ul conectează dispozitivele infectate la serverele de mining controlate de atacatori pentru a mina cripto în tăcere în fundal.

Malware-ul este sofisticat și nu minează cripto orbeште. Conform analizei SecureList, malware-ul monitorizează procentul de încărcare a bateriei, temperatura, vechimea instalării și dacă telefonul este folosit activ. Mining-ul pornește sau se oprește pe baza datelor monitorizate. Scopul este să rămână ascuns și să reducă orice șansă de detectare.

Android închide aplicațiile din fundal pentru a economisi baterie, dar malware-ul evită acest lucru prin redarea în buclă a unui fișier audio aproape silențios. Simulează utilizarea activă pentru a evita dezactivarea automată a Android.

Pentru a continua trimiterea comenzilor, malware-ul folosește Firebase Cloud Messaging, care este un serviciu legitim Google. Acest lucru facilitează atacatorilor trimiterea de noi instrucțiuni și gestionarea activității pe dispozitivul infectat.

Troianul bancar vizează transferurile USDT

Malware-ul face mai mult decât să mineze monede. Unele versiuni instalează, de asemenea, un troian bancar care vizează Binance și Trust Wallet, în special în timpul transferurilor USDT. Suprapune ecrane false peste aplicațiile reale, apoi înlocuiește discret adresa portofelului cu una controlată de atacator.

Modulul bancar monitorizează, de asemenea, browsere precum Chrome și Brave și acceptă o gamă largă de comenzi la distanță. Acestea includ înregistrarea audio, capturarea ecranelor, trimiterea de mesaje SMS, blocarea dispozitivului, ștergerea datelor și înregistrarea tastelor apăsate.

Alte mostre recente păstrează aceeași metodă de livrare a aplicației false, dar trec la un payload diferit. Instalează BTMOB RAT, un instrument de acces la distanță vândut pe piețele subterane.

BTMOB face parte dintr-un ecosistem de malware-as-a-Service (MaaS). Atacatorii îl pot cumpăra sau închiria, ceea ce reduce bariera pentru hacking și furt. Instrumentul oferă atacatorilor un acces mai profund, inclusiv înregistrarea ecranului, acces la cameră, urmărire GPS și furtul de acreditări.

BTMOB este promovat activ online. Un actor de amenințare a distribuit demo-uri ale malware-ului pe YouTube, arătând cum să controleze dispozitivele infectate. Vânzările și suportul sunt gestionate printr-un cont Telegram.

SecureList a declarat că toate victimele cunoscute sunt în Brazilia. Unele variante mai noi se răspândesc, de asemenea, prin WhatsApp și alte pagini de phishing.

Campaniile sofisticate de hacking ca aceasta sunt memento-uri pentru a verifica totul și a nu avea încredere în nimic.

Nu te limita doar la a citi știri cripto. Înțelege-le. Abonează-te la newsletter-ul nostru. Este gratuit.