แฮกเกอร์ปลอมแปลง Google Play เพื่อเผยแพร่มัลแวร์ขุดคริปโต
แฮกเกอร์กำลังกำหนดเป้าหมายเหยื่อผ่านแผนฟิชชิ่งรูปแบบใหม่ ตามโพสต์จาก SecureList แฮกเกอร์กำลังใช้หน้า Google Play Store ปลอมเพื่อเผยแพร่แคมเปญมัลแวร์ Android ในบราซิล
แอปที่เป็นอันตรายดูเหมือนการดาวน์โหลดที่ถูกต้องตามกฎหมาย แต่เมื่อติดตั้งแล้ว มันจะเปลี่ยนโทรศัพท์ที่ติดไวรัสให้กลายเป็นเครื่องขุดคริปโต นอกจากนี้ยังใช้เพื่อติดตั้งมัลแวร์ทางการธนาคารและให้สิทธิ์การเข้าถึงระยะไกลแก่ผู้คุกคามด้วย
แฮกเกอร์เปลี่ยนสมาร์ทโฟนของบราซิลให้กลายเป็นเครื่องขุดคริปโต
แคมเปญเริ่มต้นบนเว็บไซต์ฟิชชิ่งที่ดูเหมือน Google Play เกือบจะเหมือนกันทุกประการ หนึ่งในหน้าเหล่านั้นเสนอแอปปลอมที่เรียกว่า INSS Reembolso ซึ่งอ้างว่าเชื่อมโยงกับบริการประกันสังคมของบราซิล การออกแบบ UX/UI คัดลอกบริการของรัฐบาลที่น่าเชื่อถือและเลย์เอาต์ของ Play Store เพื่อทำให้การดาวน์โหลดดูปลอดภัย
หลังจากติดตั้งแอปปลอม มัลแวร์จะแกะโค้ดที่ซ่อนอยู่ในหลายขั้นตอน มันใช้ส่วนประกอบที่เข้ารหัสและโหลดโค้ดที่เป็นอันตรายหลักเข้าสู่หน่วยความจำโดยตรง ไม่มีไฟล์ที่มองเห็นได้บนอุปกรณ์ ทำให้ผู้ใช้ตรวจจับกิจกรรมที่น่าสงสัยได้ยาก
มัลแวร์ยังหลีกเลี่ยงการวิเคราะห์โดยนักวิจัยด้านความปลอดภัยด้วย มันตรวจสอบว่าโทรศัพท์กำลังทำงานในสภาพแวดล้อมจำลองหรือไม่ หากตรวจพบ มันจะหยุดทำงาน
หลังจากติดตั้งสำเร็จ มัลแวร์ยังคงดาวน์โหลดไฟล์ที่เป็นอันตรายเพิ่มเติม มันแสดงหน้าจอสไตล์ Google Play ปลอมอีกอัน จากนั้นแสดงข้อความอัปเดตปลอมและผลักดันให้ผู้ใช้แตะปุ่มอัปเดต
หนึ่งในไฟล์เหล่านั้นคือเครื่องขุดคริปโต ซึ่งเป็นเวอร์ชันของ XMRig ที่คอมไพล์สำหรับอุปกรณ์ ARM มัลแวร์ดึงเพย์โหลดการขุดจากโครงสร้างพื้นฐานที่ผู้โจมตีควบคุม จากนั้นจึงถอดรหัสและเรียกใช้บนโทรศัพท์ เพย์โหลดเชื่อมต่ออุปกรณ์ที่ติดไวรัสกับเซิร์ฟเวอร์ขุดที่ผู้โจมตีควบคุมเพื่อขุดคริปโตอย่างเงียบๆ ในพื้นหลัง
มัลแวร์มีความซับซ้อนและไม่ขุดคริปโตอย่างสุ่มสี่สุ่มห้า ตามการวิเคราะห์ของ SecureList มัลแวร์ตรวจสอบเปอร์เซ็นต์การชาร์จแบตเตอรี่ อุณหภูมิ อายุการติดตั้ง และว่าโทรศัพท์กำลังถูกใช้งานอยู่หรือไม่ การขุดเริ่มหรือหยุดตามข้อมูลที่ตรวจสอบได้ เป้าหมายคือการซ่อนตัวและลดโอกาสในการถูกตรวจจับ
Android จะปิดแอปพื้นหลังเพื่อประหยัดแบตเตอรี่ แต่มัลแวร์หลีกเลี่ยงสิ่งนี้โดยการวนลูปไฟล์เสียงที่เกือบจะเงียบ มันปลอมการใช้งานที่ใช้งานอยู่เพื่อหลีกเลี่ยงการปิดใช้งานอัตโนมัติของ Android
เพื่อส่งคำสั่งต่อไป มัลแวร์ใช้ Firebase Cloud Messaging ซึ่งเป็นบริการที่ถูกต้องของ Google สิ่งนี้ทำให้ผู้โจมตีส่งคำสั่งใหม่และจัดการกิจกรรมบนอุปกรณ์ที่ติดไวรัสได้อย่างง่ายดาย
Banking Trojan กำหนดเป้าหมายการโอน USDT
มัลแวร์ทำมากกว่าแค่ขุดเหรียญ บางเวอร์ชันยังติดตั้ง Banking Trojan ที่กำหนดเป้าหมาย Binance และ Trust Wallet โดยเฉพาะในระหว่างการโอน USDT มันวางหน้าจอปลอมทับแอปจริง จากนั้นจึงแทนที่ที่อยู่กระเป๋าเงินด้วยที่อยู่ที่ผู้โจมตีควบคุมอย่างเงียบๆ
โมดูลการธนาคารยังตรวจสอบเบราว์เซอร์เช่น Chrome และ Brave และรองรับคำสั่งระยะไกลที่หลากหลาย ซึ่งรวมถึงการบันทึกเสียง การจับภาพหน้าจอ การส่งข้อความ SMS การล็อคอุปกรณ์ การลบข้อมูล และการบันทึกการกดแป้นพิมพ์
หน้าซ้อนทับปลอมจาก Binance (ซ้าย) และ Trust Wallet (ขวา) ที่มา: SecureList
ตัวอย่างล่าสุดอื่นๆ รักษาวิธีการส่งมอบแอปปลอมเดียวกัน แต่เปลี่ยนไปใช้เพย์โหลดที่แตกต่างกัน พวกเขาติดตั้ง BTMOB RAT ซึ่งเป็นเครื่องมือการเข้าถึงระยะไกลที่ขายในตลาดใต้ดิน
BTMOB เป็นส่วนหนึ่งของระบบนิเวศ malware-as-a-Service (MaaS) ผู้โจมตีสามารถซื้อหรือเช่ามันได้ ซึ่งลดอุปสรรคในการแฮ็กและขโมย เครื่องมือนี้ให้การเข้าถึงที่ลึกขึ้นแก่ผู้โจมตี รวมถึงการบันทึกหน้าจอ การเข้าถึงกล้อง การติดตาม GPS และการขโมยข้อมูลรับรอง
BTMOB ได้รับการโปรโมตอย่างแข็งขันทางออนไลน์ ผู้คุกคามได้แชร์การสาธิตมัลแวร์บน YouTube แสดงวิธีควบคุมอุปกรณ์ที่ติดไวรัส การขายและการสนับสนุนจัดการผ่านบัญชี Telegram
SecureList ระบุว่าเหยื่อที่ทราบทั้งหมดอยู่ในบราซิล ตัวแปรใหม่บางตัวยังแพร่กระจายผ่าน WhatsApp และหน้าฟิชชิ่งอื่นๆ ด้วย
แคมเปญการแฮ็กที่ซับซ้อนเช่นนี้เป็นเครื่องเตือนใจให้ตรวจสอบทุกอย่างและไม่ไว้วางใจสิ่งใด
อย่าเพียงแค่อ่านข่าวคริปโต ให้เข้าใจมัน สมัครรับจดหมายข่าวของเรา ฟรี
คุณอาจชอบเช่นกัน
ความสัมพันธ์ของทรัมป์กับผู้หญิงเปิดเผยแนวทางนโยบายต่างประเทศที่ดุดันของเขา: การวิเคราะห์
ทำไมการเขียนเนื้อหาสัตว์เลี้ยงอย่างมืออาชีพจึงสร้างความแตกต่างให้กับแบรนด์สัตว์เลี้ยง
