Хакеры подделывают страницы Google Play Store для майнинга криптовалюты

Хакеры используют новую фишинговую схему для атаки на жертв. Согласно сообщению SecureList, хакеры используют поддельные страницы Google Play Store для распространения вредоносного ПО для Android в Бразилии.

Вредоносное приложение выглядит как легитимная загрузка, но после установки оно превращает зараженные телефоны в машины для майнинга криптовалюты. Более того, оно используется для установки банковского вредоносного ПО и предоставления удаленного доступа злоумышленникам.

Хакеры превратили бразильские смартфоны в машины для майнинга криптовалюты

Кампания начинается с фишингового сайта, который выглядит почтиdentGoogle Play. На одной из страниц предлагается поддельное приложение под названием INSS Reembolso, которое якобы связано с бразильской системой социального обеспечения. Дизайн пользовательского интерфейса и интерфейса копирует доверенную государственную службу и структуру Play Store, чтобы загрузка выглядела безопасной.

После установки поддельного приложения вредоносная программа распаковывает скрытый код в несколько этапов. Она использует зашифрованные компоненты и загружает основной вредоносный код непосредственно в память. На устройстве нет видимых файлов, что затрудняет обнаружение пользователями подозрительной активности.

Вредоносная программа также ускользает от анализа специалистов по безопасности. Она проверяет, работает ли телефон в эмулированной среде. Если обнаруживает такую ​​среду, то прекращает работу.

После успешной установки вредоносная программа продолжает загружать новые вредоносные файлы. Она отображает еще один поддельный экран в стиле Google Play, затем показывает ложное сообщение об обновлении и предлагает пользователю нажать кнопку обновления.

Один из этих файлов — криптомайнер, представляющий собой версию XMRig, скомпилированную для устройств ARM. Вредоносная программа загружает майнинговый код с инфраструктуры, контролируемой злоумышленниками. Затем она расшифровывает его и запускает на телефоне. Код подключает зараженные устройства к майнинговым серверам, контролируемым злоумышленниками, для незаметной добычи криптовалюты в фоновом режиме.

Вредоносная программа сложна и не занимается майнингом криптовалюты вслепую. Согласно анализу SecureList, вредоносная программа отслеживает процент заряда батареи, температуру, давность установки и то, используется ли телефон активно. Майнинг начинается или останавливается в зависимости от отслеживаемых данных. Цель — оставаться незамеченной и минимизировать вероятность обнаружения.

Android закрывает фоновые приложения для экономии заряда батареи, но вредоносная программа обходит это ограничение, воспроизводя почти бесшумный аудиофайл по кругу. Она имитирует активное использование, чтобы избежать автоматического отключения приложений Android.

Для продолжения отправки команд вредоносная программа использует Firebase Cloud Messaging, легитимный сервис Google. Это позволяет злоумышленникам легко отправлять новые инструкции и управлять активностью на зараженном устройстве.

Банковский троян нацелен на переводы USDT

Вредоносная программа делает больше, чем просто майнит криптовалюту. Некоторые версии также устанавливают банковский троян, который нацелен на Binance и Trust Wallet, особенно во время переводов USDT. Он накладывает поддельные экраны поверх реальных приложений, а затем незаметно заменяет адрес кошелька на адрес, контролируемый злоумышленником.

Банковский модуль также отслеживает работу таких браузеров, как Chrome и Brave, и поддерживает широкий спектр удаленных команд. К ним относятся запись звука, захват экрана, отправка SMS-сообщений, блокировка устройства, удаление данных и регистрация нажатий клавиш.

Другие недавние образцы сохраняют тот же метод доставки поддельного приложения, но переключаются на другую полезную нагрузку. Они устанавливают BTMOB RAT, инструмент удаленного доступа, продаваемый на подпольных рынках.

BTMOB является частью экосистемы вредоносного ПО как услуги (MaaS). Злоумышленники могут купить или арендовать его, что снижает барьер для взлома и кражи. Инструмент предоставляет злоумышленникам более глубокий доступ, включая запись экрана, доступ к камере, tracпо GPS и кражуdentданных.

BTMOB активно рекламируется в интернете. Один из злоумышленников выложил на YouTube демонстрации вредоносного ПО, показывающие, как управлять зараженными устройствами. Продажи и поддержка осуществляются через аккаунт в Telegram.

Компания SecureList заявила, что все известные жертвы находятся в Бразилии. Некоторые новые варианты также распространяются через WhatsApp и другие фишинговые страницы.

Подобные изощренные хакерские атаки напоминают о необходимости проверять всё и не доверять ничему.