แฮกเกอร์บราซิลใช้ Google Play Store ปลอมเพื่อขุดคริปโตและขโมย USDT

แฮกเกอร์ในบราซิลได้สร้างหน้า Google Play Store ปลอมเพื่อหลอกลวงผู้ใช้ Android ให้ดาวน์โหลดมัลแวร์ที่จะยึดครองโทรศัพท์เพื่อขุดคริปโทเคอร์เรนซีและขโมย USDT จากกระเป๋าเงินของพวกเขา

แคมเปญนี้มุ่งเป้าไปที่ฐานผู้ใช้คริปโทที่เติบโตอย่างรวดเร็วในบราซิลด้วยหน้าร้านปลอมที่เลียนแบบ Google Play Store ที่ถูกกฎหมายอย่างสมจริง ผู้ตกเป็นเหยื่อจะถูกนำไปยังหน้าปลอมผ่านกลยุทธ์ทางวิศวกรรมสังคม รวมถึงการโฆษณาที่เป็นอันตรายและลิงก์ฟิชชิ่งที่แพร่กระจายผ่าน SMS และโซเชียลมีเดีย

เมื่ออยู่บนหน้าปลอม ผู้ใช้จะได้รับการแจ้งให้ดาวน์โหลดสิ่งที่ดูเหมือนจะเป็นแอปพลิเคชัน Android ที่ถูกกฎหมาย การดาวน์โหลดนั้นเป็นไฟล์ APK ที่เป็นอันตรายซึ่งมีมัลแวร์ที่มีวัตถุประสงค์สองประการ

หน้า Google Play Store ปลอมล่อลวงผู้ใช้ Android ในบราซิลอย่างไร

หน้าร้านปลอมเลียนแบบตลาดแอปอย่างเป็นทางการของ Google อย่างใกล้เคียง โดยคัดลอกเลย์เอาต์ แบรนด์ และรูปแบบรายการแอป ระดับของรายละเอียดทำให้ผู้ใช้ทั่วไปยากที่จะแยกแยะหน้าปลอมจากของจริง

ผู้โจมตีใช้กระบวนการส่งมอบหลายวิธีเพื่อนำผู้ตกเป็นเหยื่อไปยัง URL ปลอม ซึ่งรวมถึงแคมเปญโฆษณาที่เป็นอันตรายแบบชำระเงินบนแพลตฟอร์มโซเชียล ข้อความฟิชชิ่งที่ส่งผ่าน SMS และลิงก์ที่แชร์ในกลุ่ม Telegram และ WhatsApp ที่เน้นคริปโทเคอร์เรนซีซึ่งได้รับความนิยมในบราซิล

APK ที่เป็นอันตรายจะปลอมตัวเป็นแอปยูทิลิตี้ทั่วไป หรือในบางกรณีเป็นแอปพลิเคชันกระเป๋าเงินคริปโทเคอร์เรนซีและการเทรด เนื่องจากไฟล์ถูกติดตั้งแบบ sideload แทนที่จะติดตั้งผ่าน Play Store อย่างเป็นทางการ จึงสามารถหลีกเลี่ยงการสแกนความปลอดภัยของ Google Play Protect ได้อย่างสมบูรณ์

นี่เป็นความแตกต่างที่สำคัญ: Play Protect ครอบคลุมเฉพาะแอปที่แจกจ่ายผ่านช่องทางอย่างเป็นทางการของ Google เท่านั้น โดยปล่อยให้ APK ที่ติดตั้งแบบ sideload ไม่ได้รับการตรวจสอบ

บราซิลกลายเป็นเป้าหมายหลักสำหรับแคมเปญเหล่านี้ ประเทศนี้มีฐานผู้ใช้คริปโทที่ใหญ่ที่สุดแห่งหนึ่งในละตินอเมริกา โดยมีผู้ถือครองรายย่อยหลายล้านคนที่จัดการสินทรัพย์ดิจิทัลบนอุปกรณ์มือถือ

การรวมกันของการยอมรับที่สูงและการใช้ Android อย่างแพร่หลายสร้างสภาวะที่เหมาะสมสำหรับผู้โจมตี แคมเปญหน้าร้านแอปปลอมที่คล้ายกันได้กำหนดเป้าหมายไปที่ผู้ใช้คริปโทในเอเชียตะวันออกเฉียงใต้และยุโรปตะวันออกก่อนหน้านี้

มัลแวร์ยึดครองโทรศัพท์เพื่อขุดคริปโทและดูดเงิน USDT จากกระเป๋าเงิน

เมื่อติดตั้งแล้ว มัลแวร์จะดำเนินการโจมตีแบบสองส่วน ส่วนประกอบแรกคือ cryptojacker ที่แอบยึดครอง CPU ของอุปกรณ์เพื่อขุดคริปโทเคอร์เรนซีในพื้นหลังโดยไม่มีความรู้หรือความยินยอมของผู้ใช้

ผู้ตกเป็นเหยื่อมักจะสังเกตเห็นกิจกรรมการขุดเหมืองผ่านอาการรอง: แบตเตอรี่หมดอย่างรวดเร็ว เครื่องร้อนเกินไป และประสิทธิภาพลดลงอย่างมาก สัญญาณเหล่านี้มักถูกเข้าใจผิดว่าเป็นความเสื่อมโทรมของโทรศัพท์ทั่วไปหรือข้อบกพร่องของซอฟต์แวร์ ทำให้มัลแวร์สามารถทำงานโดยไม่ถูกตรวจพบเป็นเวลานาน

ส่วนประกอบที่สองซึ่งเป็นอันตรายมากกว่าจะกำหนดเป้าหมายไปที่การถือครอง USDT โดยตรง มัลแวร์ใช้การจี้คลิปบอร์ดเพื่อขัดขวางธุรกรรมคริปโทเคอร์เรนซี เมื่อผู้ใช้คัดลอกที่อยู่กระเป๋าเงิน USDT เพื่อส่งเงิน มัลแวร์จะแอบแทนที่ด้วยที่อยู่ที่ผู้โจมตีควบคุม

เว้นแต่ผู้ส่งจะตรวจสอบทุกตัวอักษรของที่อยู่ที่วางด้วยตนเองก่อนยืนยัน เงินจะส่งตรงไปยังแฮกเกอร์ การโจมตีแบบฟิชชิ่งที่ใช้โทรจันประเภทนี้กลายเป็นเรื่องธรรมดามากขึ้นบนแพลตฟอร์มมือถือ

USDT เป็นสเตเบิลคอยน์ที่ผู้ใช้รายย่อยทั่วโลกถือครองอย่างแพร่หลายที่สุด ทำให้เป็นเป้าหมายที่ทำกำไรได้โดยเฉพาะ ไม่เหมือนคริปโทเคอร์เรนซีที่มีความผันผวน USDT ที่ถูกขโมยจะรักษามูลค่าที่ผูกกับดอลลาร์ ทำให้ผู้โจมตีได้รับสภาพคล่องที่มั่นคงทันทีซึ่งง่ายต่อการแปลงหรือฟอกเงิน

การออกแบบที่มีวัตถุประสงค์สองประการช่วยเพิ่มผลตอบแทนสูงสุดสำหรับผู้โจมตี การขุดสร้างกระแสรายได้แบบพาสซีฟจากทุกอุปกรณ์ที่ติดเชื้อ ในขณะที่ตัวจี้คลิปบอร์ดรอโอกาสธุรกรรมที่มีมูลค่าสูง แม้แต่การโอน USDT ที่ถูกขัดขวางเพียงครั้งเดียวก็สามารถได้กำไรหลายพันดอลลาร์ ทำให้การดำเนินการนี้สร้างความเสียหายอย่างมากสำหรับผู้ใช้ที่ถือยอดสเตเบิลคอยน์จำนวนมากบนอุปกรณ์มือถือ

การโจรกรรมที่กำหนดเป้าหมายประเภทนี้เป็นส่วนหนึ่งของรูปแบบที่กว้างขึ้นของการสูญเสียขนาดใหญ่ที่โจมตีผู้ถือครองคริปโทผ่านเวกเตอร์การโจมตีต่างๆ

ผู้ใช้ Android ควรทำอย่างไรเพื่อปกป้องคริปโทของพวกเขา

ผู้ใช้ Android เผชิญกับการโจมตีประเภทนี้มากกว่าผู้ใช้ iOS Android อนุญาตให้ติดตั้งแอปแบบ sideload จากแหล่งภายนอกร้านค้าอย่างเป็นทางการตามค่าเริ่มต้น ในขณะที่ iOS จำกัดการติดตั้งไปยัง App Store เท่านั้น เว้นแต่อุปกรณ์จะถูก jailbreak

การป้องกันที่มีประสิทธิภาพที่สุดนั้นตรงไปตรงมา: ดาวน์โหลดแอปโดยตรงจาก Google Play Store อย่างเป็นทางการเท่านั้น โดยการนำทางไปยัง play.google.com ด้วยตนเองหรือใช้แอป Play Store ที่ติดตั้งไว้ล่วงหน้า อย่าติดตั้งแอปจากลิงก์ที่ได้รับผ่าน SMS อีเมล โซเชียลมีเดีย หรือแอปส่งข้อความ

ผู้ใช้ควรตรวจสอบว่า Google Play Protect เปิดใช้งานบนอุปกรณ์ของพวกเขาโดยการเปิด Play Store แตะไอคอนโปรไฟล์ และเลือก "Play Protect" สิ่งนี้จะให้การสแกนพื้นฐานสำหรับมัลแวร์ที่ทราบ แม้ว่าจะไม่สามารถปกป้องจากภัยคุกคามที่ติดตั้งแบบ sideload จากแหล่งภายนอก

สำหรับทุกคนที่ถือครอง USDT หรือสินทรัพย์คริปโทอื่นๆ ในจำนวนที่มีนัยสำคัญ การเก็บเงินไว้บนอุปกรณ์มือถือถือเป็นความเสี่ยงที่แท้จริง นักวิจัยด้านความปลอดภัยแนะนำให้ใช้กระเป๋าเงินฮาร์ดแวร์สำหรับการจัดเก็บระยะยาวและปฏิบัติต่อกระเป๋าเงินมือถือว่าถือเฉพาะสิ่งที่คุณสามารถสูญเสียได้

อุปกรณ์เฉพาะสำหรับธุรกรรมคริปโท แยกต่างหากจากการเรียกดูและการใช้แอปประจำวัน จะเพิ่มอีกชั้นของการป้องกัน เนื่องจากผู้เล่นสถาบันยังคงลงทุนอย่างหนักในสินทรัพย์ดิจิทัล มูลค่าที่เพิ่มขึ้นซึ่งไหลผ่านระบบนิเวศคริปโทจะเพิ่มแรงจูงใจสำหรับผู้โจมตีเท่านั้น

เมื่อส่งคริปโทจากอุปกรณ์ใดๆ ให้ตรวจสอบที่อยู่ปลายทางทั้งหมดอีกครั้งหลังจากวางเสมอ ไม่ใช่เพียงแค่ตัวอักษรไม่กี่ตัวแรกและสุดท้าย ตัวจี้คลิปบอร์ดมักจะสร้างที่อยู่ที่ตรงกับจุดเริ่มต้นและจุดสิ้นสุดของที่อยู่ผู้รับที่ตั้งใจไว้เพื่อหลีกเลี่ยงการตรวจสอบแบบสบายๆ

ตลาดคริปโทที่ขยายตัวอย่างรวดเร็วของบราซิล ซึ่ง Bitcoin และสินทรัพย์ดิจิทัลอื่นๆ ได้เห็นการเคลื่อนไหวของราคาที่ผันผวนเมื่อเร็วๆ นี้ ทำให้ประเทศนี้เป็นเป้าหมายที่มีมูลค่าสูงสำหรับแคมเปญมัลแวร์มือถือ เมื่อการยอมรับคริปโทเติบโตขึ้นทั่วละตินอเมริกา การตระหนักรู้ด้านความปลอดภัยจำเป็นต้องก้าวทันภัยคุกคามที่กำหนดเป้าหมายไปที่ผู้ถือครองรายย่อยบนอุปกรณ์ส่วนตัวที่สุดของพวกเขา

ข้อจำกัดความรับผิดชอบ: บทความนี้มีไว้เพื่อวัตถุประสงค์ในการให้ข้อมูลเท่านั้นและไม่ถือเป็นคำแนะนำทางการเงินหรือการลงทุน ตลาดคริปโทเคอร์เรนซีและสินทรัพย์ดิจิทัลมีความเสี่ยงสูง ควรศึกษาข้อมูลด้วยตนเองเสมอก่อนตัดสินใจ