Los hackers imitan a Google Play y propagan malware de minería de criptomonedas

Los piratas informáticos están atacando a sus víctimas mediante una nueva técnica de phishing. Según una publicación de SecureList, están utilizando páginas falsas de Google Play Store para propagar una campaña de malware para Android en Brasil.

La aplicación maliciosa aparenta ser una descarga legítima, pero una vez instalada, convierte los teléfonos infectados en máquinas de minería de criptomonedas. Además, se utiliza para instalar malware bancario y otorgar acceso remoto a ciberdelincuentes.

Hackers convierten teléfonos inteligentes brasileños en máquinas de minería de criptomonedas

La campaña comienza en un sitio web de phishing que se parece casidenta Google Play. Una de las páginas ofrece una aplicación falsa llamada INSS Reembolso, que afirma estar vinculada al sistema de seguridad social de Brasil. El diseño de la interfaz de usuario (UX/UI) imita el de un servicio gubernamental de confianza y el diseño de la Play Store para que la descarga parezca segura.

Tras instalar la aplicación falsa, el malware descomprime el código oculto en varias etapas. Utiliza componentes cifrados y carga el código malicioso principal directamente en la memoria. No hay archivos visibles en el dispositivo, lo que dificulta que los usuarios detecten cualquier actividad sospechosa.

El malware también elude el análisis de los investigadores de seguridad. Comprueba si el teléfono se está ejecutando en un entorno emulado. Si lo detecta, deja de funcionar.

Tras la instalación, el malware continúa descargando más archivos maliciosos. Muestra una pantalla falsa similar a la de Google Play, luego un mensaje de actualización falso e incita al usuario a pulsar el botón de actualización.

Uno de esos archivos es un minero de criptomonedas, una versión de XMRig compilada para dispositivos ARM. El malware descarga la carga útil de minería desde la infraestructura controlada por el atacante. Luego la descifra y la ejecuta en el teléfono. La carga útil conecta los dispositivos infectados a servidores de minería controlados por los atacantes para minar criptomonedas silenciosamente en segundo plano.

El malware es sofisticado y no mina criptomonedas a ciegas. Según el análisis de SecureList, monitoriza el porcentaje de carga de la batería, la temperatura, la antigüedad de la instalación y si el teléfono se está utilizando activamente. La minería se inicia o se detiene en función de los datos monitorizados. El objetivo es permanecer oculto y reducir al mínimo cualquier posibilidad de detección.

Android cierra las aplicaciones en segundo plano para ahorrar batería, pero el malware lo evade reproduciendo en bucle un archivo de audio casi silencioso. Simula un uso activo para evitar la desactivación automática de Android.

Para seguir enviando comandos, el malware utiliza Firebase Cloud Messaging, un servicio legítimo de Google. Esto facilita a los atacantes el envío de nuevas instrucciones y la gestión de la actividad en el dispositivo infectado.

Un troyano bancario ataca las transferencias de USDT

El malware no se limita a minar criptomonedas. Algunas versiones también instalan un troyano bancario que ataca a Binance y Trust Wallet, especialmente durante las transferencias de USDT. Superpone pantallas falsas sobre las aplicaciones reales y, a continuación, reemplaza silenciosamente la dirección de la billetera por una controlada por el atacante.

El módulo bancario también supervisa navegadores como Chrome y Brave, y admite una amplia gama de comandos remotos. Estos incluyen la grabación de audio, la captura de pantalla, el envío de mensajes SMS, el bloqueo del dispositivo, el borrado de datos y el registro de pulsaciones de teclas.

Otras muestras recientes mantienen el mismo método de distribución de aplicaciones falsas, pero cambian a una carga útil diferente. Instalan BTMOB RAT, una herramienta de acceso remoto que se vende en mercados clandestinos.

BTMOB forma parte de un ecosistema de malware como servicio (MaaS). Los atacantes pueden comprarlo o alquilarlo, lo que facilita el acceso a sistemas maliciosos y robos. La herramienta les proporciona un acceso más profundo, incluyendo grabación de pantalla, acceso a la cámara, tracGPS y robo dedent.

BTMOB se promociona activamente en línea. Un ciberdelincuente compartió demostraciones del malware en YouTube, mostrando cómo controlar los dispositivos infectados. Las ventas y el soporte se gestionan a través de una cuenta de Telegram.

SecureList afirmó que todas las víctimas conocidas se encuentran en Brasil. Algunas variantes más recientes también se están propagando a través de WhatsApp y otras páginas de phishing .

Las sofisticadas campañas de piratería informática como esta nos recuerdan la importancia de verificar todo y no confiar en nada.

Si estás leyendo esto, ya estás al tanto. Sigue leyendo nuestro boletín .