Mua Crypto Thị trường Spot FuturesGOLD Tiết kiệm Trung tâm sự kiện

Xem thêm

Tin tặc đang sử dụng các trang Google Play Store giả mạo để phát tán chiến dịch phần mềm độc hại Android tại Brazil.Tin tặc đang sử dụng các trang Google Play Store giả mạo để phát tán chiến dịch phần mềm độc hại Android tại Brazil.

Tin tặc giả mạo Google Play để phát tán phần mềm độc hại khai thác tiền mã hoá

Tác giả: Cryptopolitan

Nguồn: Cryptopolitan

2026/03/22 18:32

Đọc trong 5 phút

Chia sẻ

Đối với phản hồi hoặc thắc mắc liên quan đến nội dung này, vui lòng liên hệ với chúng tôi qua crypto.news@mexc.com

Hacker đang nhắm mục tiêu nạn nhân thông qua một chiến dịch lừa đảo mới. Theo một bài đăng từ SecureList, hacker đang sử dụng các trang Google Play Store giả mạo để phát tán chiến dịch phần mềm độc hại Android tại Brazil.

Ứng dụng độc hại có vẻ như là một bản tải xuống hợp pháp, nhưng sau khi cài đặt, nó biến các điện thoại bị nhiễm thành máy khai thác điện toán đám mây. Hơn nữa, nó được sử dụng để cài đặt phần mềm độc hại ngân hàng và cấp quyền truy cập từ xa cho các tác nhân đe dọa.

Hacker biến điện thoại thông minh Brazil thành máy khai thác điện toán đám mây

Chiến dịch bắt đầu trên một trang web giả mạo trông gần giống hệt Google Play. Một trong các trang cung cấp một ứng dụng giả có tên INSS Reembolso, tuyên bố có liên kết với dịch vụ an sinh xã hội của Brazil. Thiết kế UX/UI sao chép một dịch vụ chính phủ đáng tin cậy và bố cục Play Store để khiến việc tải xuống có vẻ an toàn.

Sau khi cài đặt ứng dụng giả, phần mềm độc hại giải nén mã ẩn qua nhiều giai đoạn. Nó sử dụng các thành phần được mã hóa và tải mã độc hại chính trực tiếp vào bộ nhớ. Không có tệp nào hiển thị trên thiết bị, khiến người dùng khó phát hiện bất kỳ hoạt động đáng ngờ nào.

Phần mềm độc hại cũng tránh phân tích bởi các nhà nghiên cứu bảo mật. Nó kiểm tra xem điện thoại có đang chạy trong môi trường mô phỏng hay không. Nếu phát hiện, nó sẽ ngừng hoạt động.

Sau khi cài đặt thành công, phần mềm độc hại tiếp tục tải xuống thêm các tệp độc hại. Nó hiển thị một màn hình giả mạo kiểu Google Play khác, sau đó hiển thị lời nhắc cập nhật giả và thúc đẩy người dùng nhấn vào nút cập nhật.

Một trong những tệp đó là một máy khai thác crypto, là một phiên bản XMRig được biên dịch cho các thiết bị ARM. Phần mềm độc hại tìm nạp tải trọng khai thác từ cơ sở hạ tầng do kẻ tấn công kiểm soát. Sau đó nó giải mã và chạy nó trên điện thoại. Tải trọng kết nối các thiết bị bị nhiễm với máy chủ khai thác do kẻ tấn công kiểm soát để khai thác crypto âm thầm ở chế độ nền.

Phần mềm độc hại rất tinh vi và không khai thác crypto một cách mù quáng. Theo phân tích của SecureList, phần mềm độc hại giám sát tỷ lệ phần trăm sạc pin, nhiệt độ, tuổi cài đặt và liệu điện thoại có đang được sử dụng tích cực hay không. Khai thác bắt đầu hoặc dừng dựa trên dữ liệu được giám sát. Mục tiêu là ẩn mình và giảm mọi khả năng bị phát hiện.

Android tắt các ứng dụng chạy nền để tiết kiệm pin, nhưng phần mềm độc hại tránh điều này bằng cách lặp một tệp âm thanh gần như im lặng. Nó giả vờ sử dụng tích cực để tránh tự động vô hiệu hóa của Android.

Để tiếp tục gửi lệnh, phần mềm độc hại sử dụng Firebase Cloud Messaging, là một dịch vụ Google hợp pháp. Điều này giúp kẻ tấn công dễ dàng gửi hướng dẫn mới và quản lý hoạt động trên thiết bị bị nhiễm.

Banking Trojan nhắm mục tiêu chuyển khoản USDT

Phần mềm độc hại làm nhiều hơn việc khai thác coin. Một số phiên bản cũng cài đặt một Banking Trojan nhắm mục tiêu Binance và Trust Wallet, đặc biệt là trong quá trình chuyển USDT. Nó phủ các màn hình giả lên trên các ứng dụng thực, sau đó âm thầm thay thế địa chỉ ví bằng địa chỉ do kẻ tấn công kiểm soát.

Mô-đun ngân hàng cũng giám sát các trình duyệt như Chrome và Brave và hỗ trợ một loạt các lệnh từ xa. Bao gồm ghi âm thanh, chụp màn hình, gửi tin nhắn SMS, khóa thiết bị, xóa dữ liệu và ghi lại tổ hợp phím.

Hacker giả mạo các trang Google Play Store để khai thác crypto.

Các trang phủ giả từ Binance (trái) và Trust Wallet (phải). Nguồn: SecureList.

Các mẫu gần đây khác giữ nguyên phương thức phân phối ứng dụng giả nhưng chuyển sang tải trọng khác. Chúng cài đặt BTMOB RAT, một công cụ truy cập từ xa được bán trên các thị trường ngầm.

BTMOB là một phần của hệ sinh thái phần mềm độc hại dưới dạng dịch vụ (MaaS). Kẻ tấn công có thể mua hoặc thuê nó, điều này giảm rào cản đối với hacking và trộm cắp. Công cụ này cung cấp cho kẻ tấn công quyền truy cập sâu hơn, bao gồm ghi màn hình, truy cập camera, theo dõi GPS và trộm thông tin đăng nhập.

BTMOB được quảng bá tích cực trực tuyến. Một tác nhân đe dọa đã chia sẻ các demo của phần mềm độc hại trên YouTube, cho thấy cách kiểm soát các thiết bị bị nhiễm. Bán hàng và hỗ trợ được xử lý thông qua một tài khoản Telegram.

SecureList tuyên bố rằng tất cả các nạn nhân được biết đến đều ở Brazil. Một số biến thể mới hơn cũng đang lây lan qua WhatsApp và các trang giả mạo khác.

Các chiến dịch hacking tinh vi như thế này là lời nhắc nhở để xác minh mọi thứ và không tin tưởng gì cả.

Đừng chỉ đọc tin tức crypto. Hãy hiểu nó. Đăng ký nhận bản tin của chúng tôi. Miễn phí.

Tuyên bố miễn trừ trách nhiệm: Các bài viết được đăng lại trên trang này được lấy từ các nền tảng công khai và chỉ nhằm mục đích tham khảo. Các bài viết này không nhất thiết phản ánh quan điểm của MEXC. Mọi quyền sở hữu thuộc về tác giả gốc. Nếu bạn cho rằng bất kỳ nội dung nào vi phạm quyền của bên thứ ba, vui lòng liên hệ crypto.news@mexc.com để được gỡ bỏ. MEXC không đảm bảo về tính chính xác, đầy đủ hoặc kịp thời của các nội dung và không chịu trách nhiệm cho các hành động được thực hiện dựa trên thông tin cung cấp. Nội dung này không cấu thành lời khuyên tài chính, pháp lý hoặc chuyên môn khác, và cũng không được xem là khuyến nghị hoặc xác nhận từ MEXC.