Des pirates informatiques falsifient des pages du Google Play Store pour miner des cryptomonnaies

Des pirates informatiques ciblent leurs victimes via une nouvelle technique d'hameçonnage. Selon un article de SecureList, ils utilisent de fausses pages du Google Play Store pour diffuser un logiciel malveillant Android au Brésil.

L'application malveillante se présente comme un téléchargement légitime, mais une fois installée, elle transforme les téléphones infectés en machines de minage de cryptomonnaies. De plus, elle sert à installer des logiciels malveillants bancaires et à donner un accès à distance aux cybercriminels.

Des pirates informatiques transforment des smartphones brésiliens en machines de minage de cryptomonnaies

La campagne débute sur un site web frauduleux qui imite presquedentGoogle Play. L'une des pages propose une fausse application appelée INSS Reembolso, qui prétend être liée au service de sécurité sociale brésilien. L'interface utilisateur imite un service gouvernemental de confiance et la mise en page du Play Store afin de rendre le téléchargement plus sûr.

Après l'installation de la fausse application, le logiciel malveillant décompresse du code caché en plusieurs étapes. Il utilise des composants chiffrés et charge le code malveillant principal directement en mémoire. Aucun fichier n'est visible sur l'appareil, ce qui rend difficile pour les utilisateurs de détecter toute activité suspecte.

Le logiciel malveillant échappe également à l'analyse des chercheurs en sécurité. Il vérifie si le téléphone fonctionne dans un environnement émulé. Si tel est le cas, il cesse de fonctionner.

Une fois l'installation réussie, le logiciel malveillant continue de télécharger d'autres fichiers malveillants. Il affiche un autre écran imitant Google Play, puis une fausse invite de mise à jour et incite l'utilisateur à cliquer sur le bouton de mise à jour.

L'un de ces fichiers est un mineur de cryptomonnaie, une version de XMRig compilée pour les appareils ARM. Le logiciel malveillant récupère la charge utile de minage depuis une infrastructure contrôlée par l'attaquant. Il la déchiffre ensuite et l'exécute sur le téléphone. Cette charge utile connecte les appareils infectés à des serveurs de minage contrôlés par les attaquants afin de miner des cryptomonnaies discrètement en arrière-plan.

Ce logiciel malveillant est sophistiqué et ne mine pas de cryptomonnaie à l'aveugle. D'après l'analyse de SecureList, il surveille le niveau de charge de la batterie, la température, l'ancienneté de l'installation et l'utilisation du téléphone. Le minage démarre ou s'arrête en fonction de ces données. Son objectif est de rester indétectable et de minimiser les risques de détection.

Android ferme les applications en arrière-plan pour économiser la batterie, mais le logiciel malveillant contourne cette protection en diffusant en boucle un fichier audio quasi silencieux. Il simule une utilisation active pour éviter la désactivation automatique par Android.

Pour continuer à envoyer des commandes, le logiciel malveillant utilise Firebase Cloud Messaging, un service légitime de Google. Cela permet aux attaquants d'envoyer facilement de nouvelles instructions et de contrôler l'activité sur l'appareil infecté.

Un cheval de Troie bancaire cible les transferts en USDT

Ce logiciel malveillant ne se contente pas de miner des cryptomonnaies. Certaines versions installent également un cheval de Troie bancaire ciblant Binance et Trust Wallet, notamment lors des transferts d'USDT. Il superpose de faux écrans aux applications légitimes, puis remplace discrètement l'adresse du portefeuille par une adresse contrôlée par l'attaquant.

Le module bancaire surveille également les navigateurs tels que Chrome et Brave et prend en charge un large éventail de commandes à distance. Celles-ci incluent l'enregistrement audio, la capture d'écran, l'envoi de SMS, le verrouillage de l'appareil, l'effacement des données et l'enregistrement des frappes au clavier.

D'autres exemples récents conservent la même méthode de distribution de fausses applications, mais installent une charge utile différente : BTMOB RAT, un outil d'accès à distance vendu sur les marchés clandestins.

BTMOB fait partie d'un écosystème de logiciels malveillants en tant que service (MaaS). Les attaquants peuvent l'acheter ou le louer, ce qui facilite le piratage et le vol de données. Cet outil leur offre un accès plus étendu, notamment l'enregistrement d'écran, l'accès à la caméra, tracGPS et le vol d'dent.

BTMOB fait l'objet d'une promotion active en ligne. Un acteur malveillant a partagé des démonstrations du logiciel malveillant sur YouTube, montrant comment contrôler les appareils infectés. Les ventes et le support sont assurés via un compte Telegram.

SecureList a indiqué que toutes les victimes connues se trouvent au Brésil. De nouvelles variantes se propagent également via WhatsApp et d'autres sites d'hameçonnage.

Les campagnes de piratage sophistiquées comme celle-ci nous rappellent qu'il faut tout vérifier et ne faire confiance à rien.