Бразильські хакери використовують фальшивий Google Play Store для майнінгу криптовалюти та крадіжки USDT

Хакери в Бразилії створили фальшиву сторінку Google Play Store, розраховану на те, щоб обдурити користувачів Android і змусити їх завантажити шкідливе програмне забезпечення, яке захоплює їхні телефони для майнінгу криптовалют і краде USDT з їхніх гаманців.

Кампанія спрямована на швидкозростаючу базу користувачів криптовалют у Бразилії за допомогою шахрайської вітрини, яка візуально копіює легітимний Google Play Store. Жертв направляють на фальшиву сторінку через тактики соціальної інженерії, включаючи зловмисну рекламу та фішингові посилання, які поширюються через підтвердження SMS та соціальні мережі.

Потрапивши на підроблену сторінку, користувачів закликають завантажити те, що здається легітимними застосунками для Android. Насправді це шкідливі APK-файли, що містять шкідливе програмне забезпечення подвійного призначення.

Як фальшивий Google Play Store заманює бразильських користувачів Android

Фальшива вітрина точно імітує офіційний магазин застосунків Google, копіюючи його макет, брендинг і формат списку застосунків. Рівень деталізації ускладнює для звичайних користувачів розрізнення шахрайської сторінки від справжньої.

Зловмисники використовують кілька механізмів доставки, щоб спрямувати жертв на фальшиву URL-адресу. Це включає платні кампанії зловмисної реклами на соціальних платформах, фішингові повідомлення, надіслані через підтвердження SMS, і посилання, які поширюються в орієнтованих на криптовалюту групах Telegram і WhatsApp, популярних у Бразилії.

Шкідливі APK замасковані під звичайні утилітні застосунки або, в деяких випадках, під застосунки криптовалютних гаманців і торгівлі. Оскільки файли встановлюються стороннім способом, а не через офіційний Play Store, вони повністю обходять сканування безпеки Google Play Protect.

Це критична відмінність: Play Protect охоплює лише застосунки, розповсюджені через офіційний канал Google, залишаючи сторонні APK без перевірки.

Бразилія стала головною метою для цих кампаній. Країна має одну з найбільших баз користувачів криптовалют у Латинській Америці, з мільйонами роздрібних власників, які керують цифровими активами на мобільних пристроях.

Це поєднання високого рівня впровадження та широкого використання Android створює ідеальні умови для зловмисників. Подібні кампанії фальшивих магазинів застосунків раніше були спрямовані на користувачів криптовалют у Південно-Східній Азії та Східній Європі.

Шкідливе програмне забезпечення захоплює телефони для майнінгу криптовалют і спустошує USDT гаманці

Після встановлення шкідливе програмне забезпечення виконує атаку з подвійним навантаженням. Перший компонент — це криптоджекер, який тихо захоплює процесор пристрою для майнінгу криптовалют у фоновому режимі без відома чи згоди користувача.

Жертви зазвичай помічають діяльність майнінгу лише через вторинні симптоми: швидке виснаження батареї, перегрівання та значне погіршення продуктивності. Ці ознаки часто помилково приймають за загальне старіння телефону або програмні помилки, що дозволяє шкідливому програмному забезпеченню працювати невиявленим протягом тривалих періодів.

Другий, більш шкідливий компонент безпосередньо націлений на утримання USDT. Шкідливе програмне забезпечення використовує викрадення адрес для перехоплення криптовалютних транзакцій. Коли користувач копіює адресу гаманця USDT для відправки коштів, шкідливе програмне забезпечення тихо замінює її на контрольовану зловмисником адресу.

Якщо відправник не перевірить вручну кожен символ вставленої адреси перед підтвердженням, кошти надходять безпосередньо до хакерів. Цей тип фішингової атаки на основі троянів стає все більш поширеним на мобільних платформах.

USDT є найбільш широко утримуваним стейблкоїном серед роздрібних користувачів у всьому світі, що робить його особливо прибутковою метою. На відміну від волатильних криптовалют, викрадений USDT зберігає свою прив'язану до долара вартість, надаючи зловмисникам негайну, стабільну ліквідність, яку легко конвертувати або відмити.

Дизайн подвійного призначення максимізує прибутки для зловмисників. Майнінг генерує пасивний потік доходу з кожного зараженого пристрою, тоді як викрадач буфера обміну чекає можливостей для високовартісних транзакцій. Навіть один перехоплений переказ USDT може принести тисячі доларів, що робить операцію особливо шкідливою для користувачів, які зберігають значні баланси стейблкоїнів на мобільних пристроях.

Цей вид цілеспрямованої крадіжки є частиною більш широкої моделі масштабних втрат, що вражають власників криптовалют через різні вектори атак.

Що повинні робити користувачі Android для захисту своєї криптовалюти

Користувачі Android зазнають більшого впливу цього типу атак, ніж користувачі iOS. Android дозволяє встановлювати застосунки з джерел поза офіційним магазином за замовчуванням, тоді як iOS обмежує встановлення App Store, якщо пристрій не зламано.

Найефективніший захист простий: завантажуйте застосунки лише безпосередньо з офіційного Google Play Store, переходячи на play.google.com вручну або використовуючи попередньо встановлений застосунок Play Store. Ніколи не встановлюйте застосунки з посилань, отриманих через підтвердження SMS, електронну пошту, соціальні мережі або застосунки для обміну повідомленнями.

Користувачі повинні переконатися, що Google Play Protect увімкнено на їхніх пристроях, відкривши Play Store, натиснувши значок свого профілю та вибравши "Play Protect". Це забезпечує базове сканування відомого шкідливого програмного забезпечення, хоча воно не може захистити від загроз, які встановлюються з зовнішніх джерел.

Для будь-кого, хто зберігає значні суми USDT або інших криптоактивів, зберігання коштів на мобільному пристрої представляє внутрішній ризик. Дослідники безпеки рекомендують використовувати апаратний гаманець для довгострокового зберігання та ставитися до мобільних гаманців як до тих, що містять лише те, що ви можете дозволити собі втратити.

Виділений пристрій для криптовалютних транзакцій, окремий від щоденного перегляду та використання застосунків, додає ще один рівень захисту. Оскільки інституційні гравці продовжують активно інвестувати в цифрові активи, зростаюча вартість, що протікає через криптоекосистему, лише збільшує стимули для зловмисників.

Відправляючи криптовалюту з будь-якого пристрою, завжди перевіряйте повну адресу призначення після вставки, а не лише перші та останні кілька символів. Викрадачі буфера обміну часто генерують адреси, які збігаються з початком і кінцем адреси призначеного одержувача, щоб уникнути випадкової перевірки.

Швидко зростаючий криптовалютний ринок Бразилії, де Bitcoin та інші цифрові активи нещодавно демонстрували волатильну цінову динаміку, робить країну високовартісною метою для кампаній мобільного шкідливого програмного забезпечення. Оскільки впровадження криптовалют зростає в Латинській Америці, обізнаність про безпеку повинна йти в ногу із загрозами, спрямованими на роздрібних власників на їхніх найбільш особистих пристроях.

Застереження: ця стаття призначена лише для інформаційних цілей і не є фінансовою чи інвестиційною порадою. Ринки криптовалют і цифрових активів несуть значний ризик. Завжди проводьте власне дослідження перед прийняттям рішень.