Gli hacker falsificano le pagine del Google Play Store per estrarre criptovalute

Gli hacker stanno prendendo di mira le vittime con una nuova tecnica di phishing. Secondo un articolo di SecureList, gli hacker stanno utilizzando false pagine del Google Play Store per diffondere una campagna di malware per Android in Brasile.

L'applicazione dannosa appare come un download legittimo, ma una volta installata trasforma i telefoni infetti in macchine per il mining di criptovalute. Inoltre, viene utilizzata per installare malware bancari e consentire l'accesso remoto a malintenzionati.

Gli hacker trasformano gli smartphone brasiliani in macchine per il mining di criptovalute

La campagna inizia su un sito web di phishing quasidenta Google Play. Una delle pagine offre una falsa app chiamata INSS Reembolso, che afferma di essere collegata al servizio di previdenza sociale brasiliano. Il design UX/UI copia un servizio governativo affidabile e il layout del Play Store per far apparire il download sicuro.

Dopo aver installato la falsa app, il malware decomprime il codice nascosto in più fasi. Utilizza componenti crittografati e carica il codice dannoso principale direttamente in memoria. Non essendoci file visibili sul dispositivo, risulta difficile per gli utenti rilevare attività sospette.

Il malware elude anche l'analisi da parte dei ricercatori di sicurezza. Verifica se il telefono è in esecuzione in un ambiente emulato. Se lo rileva, smette di funzionare.

Dopo l'installazione, il malware continua a scaricare altri file dannosi. Mostra un'altra schermata falsa in stile Google Play, poi visualizza un falso messaggio di aggiornamento e spinge l'utente a toccare il pulsante di aggiornamento.

Uno di questi file è un miner di criptovalute, ovvero una versione di XMRig compilata per dispositivi ARM. Il malware scarica il payload per il mining da un'infrastruttura controllata dagli aggressori, lo decifra e lo esegue sul telefono. Il payload collega i dispositivi infetti ai server di mining controllati dagli aggressori per estrarre criptovalute silenziosamente in background.

Il malware è sofisticato e non estrae criptovalute a caso. Secondo l'analisi di SecureList, monitora la percentuale di carica della batteria, la temperatura, l'età dell'installazione e se il telefono è in uso. L'attività di mining inizia o si interrompe in base ai dati monitorati. L'obiettivo è rimanere nascosto e ridurre al minimo le possibilità di essere rilevato.

Android chiude le app in background per risparmiare batteria, ma il malware elude questo meccanismo riproducendo in loop un file audio quasi silenzioso. In questo modo simula un utilizzo attivo per evitare la disattivazione automatica da parte di Android.

Per continuare a inviare comandi, il malware utilizza Firebase Cloud Messaging, un servizio legittimo di Google. Questo permette agli aggressori di inviare facilmente nuove istruzioni e gestire l'attività sul dispositivo infetto.

Un trojan bancario prende di mira i trasferimenti in USDT

Il malware non si limita al mining di criptovalute. Alcune versioni installano anche un Trojan bancario che prende di mira Binance e Trust Wallet, soprattutto durante i trasferimenti di USDT. Sovrappone schermate false alle applicazioni originali, quindi sostituisce silenziosamente l'indirizzo del portafoglio con uno controllato dall'attaccante.

Il modulo bancario monitora anche browser come Chrome e Brave e supporta un'ampia gamma di comandi remoti. Tra questi figurano la registrazione audio, l'acquisizione di schermate, l'invio di messaggi SMS, il blocco del dispositivo, la cancellazione dei dati e la registrazione dei tasti premuti.

Altri campioni recenti mantengono lo stesso metodo di distribuzione della falsa app, ma utilizzano un payload diverso. Installano BTMOB RAT, uno strumento di accesso remoto venduto nei mercati clandestini.

BTMOB fa parte di un ecosistema di malware-as-a-Service (MaaS). Gli aggressori possono acquistarlo o noleggiarlo, il che semplifica gli attacchi informatici e il furto di dati. Lo strumento offre agli aggressori un accesso più approfondito, che include la registrazione dello schermo, l'accesso alla fotocamera, tracGPS e il furto dident.

BTMOB viene promosso attivamente online. Un hacker ha condiviso su YouTube delle demo del malware, mostrando come controllare i dispositivi infetti. Le vendite e l'assistenza vengono gestite tramite un account Telegram.

SecureList ha dichiarato che tutte le vittime conosciute si trovano in Brasile. Alcune varianti più recenti si stanno diffondendo anche tramite WhatsApp e altre pagine di phishing.

Campagne di hacking sofisticate come questa ci ricordano di verificare tutto e di non fidarci di nulla.