Peretas meniru Google Play untuk menyebarkan malware penambangan kripto

Peretas menargetkan korban melalui skema phishing baru. Menurut postingan dari SecureList, peretas menggunakan halaman Google Play Store palsu untuk menyebarkan kampanye malware Android di Brasil.

Aplikasi berbahaya ini tampak seperti unduhan yang sah, tetapi setelah diinstal, aplikasi ini mengubah ponsel yang terinfeksi menjadi mesin penambangan kripto. Selain itu, aplikasi ini digunakan untuk menginstal malware perbankan dan memberikan akses jarak jauh kepada pelaku ancaman.

Peretas mengubah smartphone Brasil menjadi mesin penambangan kripto

Kampanye dimulai di situs web phishing yang terlihat hampir identik dengan Google Play. Salah satu halaman menawarkan aplikasi palsu bernama INSS Reembolso, yang mengklaim terkait dengan layanan jaminan sosial Brasil. Desain UX/UI meniru layanan pemerintah tepercaya dan tata letak Play Store untuk membuat unduhan tampak aman.

Setelah menginstal aplikasi palsu, malware membongkar kode tersembunyi dalam beberapa tahap. Malware menggunakan komponen terenkripsi dan memuat kode berbahaya utama langsung ke dalam memori. Tidak ada file yang terlihat di perangkat, sehingga sulit bagi pengguna untuk mendeteksi aktivitas mencurigakan.

Malware juga menghindari analisis oleh peneliti keamanan. Malware memeriksa apakah ponsel berjalan di lingkungan yang diemulasi. Jika mendeteksi satu, malware berhenti bekerja.

Setelah instalasi berhasil, malware terus mengunduh lebih banyak file berbahaya. Malware menampilkan layar bergaya Google Play palsu lainnya, kemudian menampilkan prompt pembaruan palsu dan mendorong pengguna untuk mengetuk tombol pembaruan.

Salah satu file tersebut adalah penambang kripto, yang merupakan versi XMRig yang dikompilasi untuk perangkat ARM. Malware mengambil payload penambangan dari infrastruktur yang dikendalikan penyerang. Kemudian malware mendekripsinya dan menjalankannya di ponsel. Payload menghubungkan perangkat yang terinfeksi ke server penambangan yang dikendalikan oleh penyerang untuk menambang kripto secara diam-diam di latar belakang.

Malware ini canggih dan tidak menambang kripto secara membabi buta. Menurut analisis SecureList, malware memantau persentase pengisian baterai, suhu, usia instalasi, dan apakah ponsel sedang digunakan secara aktif. Penambangan dimulai atau berhenti berdasarkan data yang dipantau. Tujuannya adalah untuk tetap tersembunyi dan mengurangi kemungkinan deteksi.

Android mematikan aplikasi latar belakang untuk menghemat baterai, tetapi malware menghindari ini dengan memutar file audio yang hampir tidak terdengar. Malware berpura-pura digunakan secara aktif untuk menghindari deaktivasi otomatis Android.

Untuk terus mengirim perintah, malware menggunakan Firebase Cloud Messaging, yang merupakan layanan Google yang sah. Ini memudahkan penyerang untuk mengirim instruksi baru dan mengelola aktivitas di perangkat yang terinfeksi.

Trojan Perbankan menargetkan transfer USDT

Malware melakukan lebih dari sekadar menambang koin. Beberapa versi juga menginstal Trojan perbankan yang menargetkan Binance dan Trust Wallet, terutama selama transfer USDT. Malware melapisi layar palsu di atas aplikasi asli, kemudian secara diam-diam mengganti alamat dompet dengan alamat yang dikendalikan oleh penyerang.

Modul perbankan juga memantau browser seperti Chrome dan Brave dan mendukung berbagai perintah jarak jauh. Ini termasuk merekam audio, menangkap layar, mengirim pesan SMS, mengunci perangkat, menghapus data, dan mencatat penekanan tombol.

Sampel terbaru lainnya mempertahankan metode pengiriman aplikasi palsu yang sama tetapi beralih ke payload yang berbeda. Mereka menginstal BTMOB RAT, alat akses jarak jauh yang dijual di pasar bawah tanah.

BTMOB adalah bagian dari ekosistem malware-as-a-Service (MaaS). Penyerang dapat membeli atau menyewanya, yang menurunkan hambatan untuk peretasan dan pencurian. Alat ini memberikan akses yang lebih dalam kepada penyerang, termasuk perekaman layar, akses kamera, pelacakan GPS, dan pencurian kredensial.

BTMOB dipromosikan secara aktif secara online. Seorang pelaku ancaman membagikan demo malware di YouTube, menunjukkan cara mengontrol perangkat yang terinfeksi. Penjualan dan dukungan ditangani melalui akun Telegram.

SecureList menyatakan bahwa semua korban yang diketahui berada di Brasil. Beberapa varian yang lebih baru juga menyebar melalui WhatsApp dan halaman phishing lainnya.

Kampanye peretasan canggih seperti ini adalah pengingat untuk memverifikasi segalanya dan tidak mempercayai apa pun.

Jangan hanya membaca berita kripto. Pahami itu. Berlangganan newsletter kami. Gratis.