Хакери імітують Google Play для поширення шкідливого ПЗ для майнінгу криптовалют

Хакери атакують жертв через нову фішингову схему. Згідно з публікацією SecureList, хакери використовують фальшиві сторінки Google Play Store для поширення кампанії зловмисного програмного забезпечення для Android у Бразилії.

Шкідливий додаток виглядає як легітимне завантаження, але після встановлення він перетворює заражені телефони на криптомайнінгові машини. Крім того, він використовується для встановлення банківського зловмисного ПЗ та надання віддаленого доступу зловмисникам.

Хакери перетворюють бразильські смартфони на криптомайнінгові машини

Кампанія починається на фішинговому веб-сайті, який виглядає майже ідентично до Google Play. На одній зі сторінок пропонується фальшивий додаток під назвою INSS Reembolso, який нібито пов'язаний зі службою соціального забезпечення Бразилії. Дизайн UX/UI копіює надійний державний сервіс та макет Play Store, щоб завантаження виглядало безпечним.

Після встановлення фальшивого додатка зловмисне ПЗ розпаковує прихований код у кілька етапів. Воно використовує зашифровані компоненти та завантажує основний шкідливий код безпосередньо в пам'ять. На пристрої немає видимих файлів, що ускладнює виявлення користувачами будь-якої підозрілої активності.

Зловмисне ПЗ також уникає аналізу дослідниками безпеки. Воно перевіряє, чи працює телефон в емульованому середовищі. Якщо виявляє таке, воно припиняє роботу.

Після успішного встановлення зловмисне ПЗ продовжує завантажувати додаткові шкідливі файли. Воно показує ще один екран у стилі Google Play, потім відображає фальшиве повідомлення про оновлення та змушує користувача натиснути кнопку оновлення.

Один з цих файлів є криптомайнером, який є версією XMRig, скомпільованою для ARM-пристроїв. Зловмисне ПЗ отримує майнінговий пейлоад з інфраструктури, контрольованої зловмисниками. Потім воно розшифровує його та запускає на телефоні. Пейлоад підключає заражені пристрої до майнінгових серверів, контрольованих зловмисниками, щоб майнити криптовалюту тихо у фоновому режимі.

Зловмисне ПЗ є складним і не майнить криптовалюту сліпо. Згідно з аналізом SecureList, зловмисне ПЗ відстежує відсоток заряду батареї, температуру, вік встановлення та чи активно використовується телефон. Майнінг починається або зупиняється на основі відстежуваних даних. Мета — залишатися прихованим та зменшити будь-який шанс виявлення.

Android вимикає фонові додатки для економії батареї, але зловмисне ПЗ обходить це, циклічно програючи майже беззвучний аудіофайл. Воно імітує активне використання, щоб уникнути автоматичної деактивації Android.

Щоб продовжувати надсилати команди, зловмисне ПЗ використовує Firebase Cloud Messaging, який є легітимним сервісом Google. Це дозволяє зловмисникам легко надсилати нові інструкції та керувати активністю на зараженому пристрої.

Банківський троян націлений на USDT переказі

Зловмисне ПЗ робить більше, ніж майнить монети. Деякі версії також встановлюють банківський троян, який націлений на Binance та Trust Wallet, особливо під час переказів USDT. Воно накладає фальшиві екрани поверх справжніх додатків, а потім тихо замінює адресу гаманця на адресу, контрольовану зловмисником.

Банківський модуль також відстежує браузери, такі як Chrome та Brave, і підтримує широкий спектр віддалених команд. Вони включають запис аудіо, захоплення екранів, відправлення SMS повідомлень, блокування пристрою, видалення даних та реєстрацію натискань клавіш.

Інші останні зразки зберігають той самий метод доставки фальшивого додатка, але переходять на інший пейлоад. Вони встановлюють BTMOB RAT, інструмент віддаленого доступу, який продається на підпільних ринках.

BTMOB є частиною екосистеми зловмисного ПЗ як послуги (MaaS). Зловмисники можуть купити або орендувати його, що знижує бар'єр для злому та крадіжки. Інструмент надає зловмисникам глибший доступ, включаючи запис екрана, доступ до камери, GPS-відстеження та крадіжку облікових даних.

BTMOB активно просувається онлайн. Зловмисник поділився демонстраціями зловмисного ПЗ на YouTube, показуючи, як керувати зараженими пристроями. Продажі та підтримка здійснюються через акаунт Telegram.

SecureList заявив, що всі відомі жертви знаходяться в Бразилії. Деякі новіші варіанти також поширюються через WhatsApp та інші фішингові сторінки.

Такі складні хакерські кампанії є нагадуванням перевіряти все і нічому не довіряти.

Не просто читайте новини про криптовалюти. Розумійте їх. Підпишіться на нашу розсилку. Це безкоштовно.