Хакеры имитируют Google Play для распространения вредоносного ПО для майнинга криптовалюты

Хакеры атакуют жертв с помощью новой схемы фишинга. Согласно публикации SecureList, хакеры используют поддельные страницы Google Play Store для распространения вредоносной кампании Android в Бразилии.

Вредоносное приложение выглядит как легитимная загрузка, но после установки оно превращает зараженные телефоны в майнинг оборудование для криптовалют. Более того, оно используется для установки банковского вредоносного ПО и предоставления удаленного доступа злоумышленникам.

Хакеры превращают бразильские смартфоны в майнинг оборудование для криптовалют

Кампания начинается на фишинговом сайте, который выглядит почти идентично Google Play. Одна из страниц предлагает поддельное приложение под названием INSS Reembolso, которое якобы связано со службой социального обеспечения Бразилии. Дизайн UX/UI копирует надежную государственную службу и макет Play Store, чтобы загрузка выглядела безопасной.

После установки поддельного приложения вредоносное ПО распаковывает скрытый код в несколько этапов. Оно использует зашифрованные компоненты и загружает основной вредоносный код непосредственно в память. На устройстве нет видимых файлов, что затрудняет обнаружение пользователями подозрительной активности.

Вредоносное ПО также уклоняется от анализа исследователями безопасности. Оно проверяет, работает ли телефон в эмулированной среде. Если обнаруживает таковую, оно прекращает работу.

После успешной установки вредоносное ПО продолжает загружать дополнительные вредоносные файлы. Оно показывает еще один поддельный экран в стиле Google Play, затем отображает ложное уведомление об обновлении и заставляет пользователя нажать кнопку обновления.

Один из этих файлов представляет собой крипто-майнер, который является версией XMRig, скомпилированной для устройств ARM. Вредоносное ПО извлекает майнинговую нагрузку из инфраструктуры, контролируемой злоумышленниками. Затем оно расшифровывает ее и запускает на телефоне. Нагрузка подключает зараженные устройства к майнинговым серверам, контролируемым злоумышленниками, для скрытого майнинга криптовалюты в фоновом режиме.

Вредоносное ПО является сложным и не добывает криптовалюту вслепую. Согласно анализу SecureList, вредоносное ПО отслеживает процент заряда батареи, температуру, время с момента установки и активно ли используется телефон. Майнинг запускается или останавливается на основе отслеживаемых данных. Цель состоит в том, чтобы оставаться скрытым и снизить любую вероятность обнаружения.

Android завершает фоновые приложения для экономии заряда батареи, но вредоносное ПО обходит это, зацикливая почти беззвучный аудиофайл. Оно имитирует активное использование, чтобы избежать автоматической деактивации Android.

Для продолжения отправки команд вредоносное ПО использует Firebase Cloud Messaging, который является легитимным сервисом Google. Это облегчает злоумышленникам отправку новых инструкций и управление активностью на зараженном устройстве.

Банковский троян нацелен на переводы USDT

Вредоносное ПО делает больше, чем просто добывает монеты. Некоторые версии также устанавливают банковский троян, который нацелен на Binance и Trust Wallet, особенно во время переводов USDT. Он накладывает поддельные экраны поверх реальных приложений, затем незаметно заменяет адрес кошелька на контролируемый злоумышленником.

Банковский модуль также отслеживает браузеры, такие как Chrome и Brave, и поддерживает широкий спектр удаленных команд. К ним относятся запись аудио, захват экранов, отправка SMS-сообщений, блокировка устройства, стирание данных и регистрация нажатий клавиш.

Другие недавние образцы сохраняют тот же метод доставки поддельного приложения, но переключаются на другую нагрузку. Они устанавливают BTMOB RAT, инструмент удаленного доступа, продаваемый на подпольных рынках.

BTMOB является частью экосистемы вредоносного ПО как услуги (MaaS). Злоумышленники могут купить или арендовать его, что снижает барьер для взлома и кражи. Инструмент предоставляет злоумышленникам более глубокий доступ, включая запись экрана, доступ к камере, отслеживание GPS и кражу учетных данных.

BTMOB активно продвигается в интернете. Злоумышленник поделился демонстрациями вредоносного ПО на YouTube, показывая, как контролировать зараженные устройства. Продажи и поддержка осуществляются через аккаунт в Telegram.

SecureList заявил, что все известные жертвы находятся в Бразилии. Некоторые новые варианты также распространяются через WhatsApp и другие фишинговые страницы.

Сложные хакерские кампании, подобные этой, являются напоминанием о необходимости проверять все и не доверять ничему.

Не просто читайте крипто-новости. Понимайте их. Подпишитесь на нашу рассылку. Это бесплатно.