Hackers imitam a Google Play para disseminar malware de mineração de criptomoedas

Hackers estão visando vítimas por meio de um novo esquema de phishing. De acordo com uma publicação da SecureList, hackers estão usando páginas falsas da Google Play Store para disseminar uma campanha de malware para Android no Brasil.

O aplicativo malicioso aparenta ser um download legítimo, mas, uma vez instalado, transforma os telefones infectados em máquinas de mineração de criptomoedas. Além disso, é usado para instalar malware bancário e conceder acesso remoto a agentes maliciosos.

Hackers transformam smartphones brasileiros em máquinas de mineração de criptomoedas

A campanha começa em um site de phishing que é quasedentao Google Play. Uma das páginas oferece um aplicativo falso chamado INSS Reembolso, que alega estar vinculado ao serviço de previdência social do Brasil. O design da experiência do usuário (UX/UI) copia um serviço governamental confiável e o layout da Play Store para fazer com que o download pareça seguro.

Após instalar o aplicativo falso, o malware descompacta o código oculto em várias etapas. Ele utiliza componentes criptografados e carrega o código malicioso principal diretamente na memória. Não há arquivos visíveis no dispositivo, o que dificulta a detecção de qualquer atividade suspeita por parte dos usuários.

O malware também consegue burlar a análise de pesquisadores de segurança. Ele verifica se o telefone está rodando em um ambiente emulado. Se detectar um, para de funcionar.

Após a instalação bem-sucedida, o malware continua baixando mais arquivos maliciosos. Ele exibe outra tela falsa no estilo do Google Play, em seguida, mostra um aviso falso de atualização e induz o usuário a tocar no botão de atualização.

Um desses arquivos é um minerador de criptomoedas, que é uma versão do XMRig compilada para dispositivos ARM. O malware obtém o payload de mineração da infraestrutura controlada pelo atacante. Em seguida, ele o descriptografa e o executa no telefone. O payload conecta os dispositivos infectados a servidores de mineração controlados pelos atacantes para minerar criptomoedas silenciosamente em segundo plano.

O malware é sofisticado e não realiza mineração de criptomoedas indiscriminadamente. De acordo com a análise da SecureList, o malware monitora a porcentagem de carga da bateria, a temperatura, o tempo de instalação e se o telefone está sendo usado ativamente. A mineração inicia ou para com base nos dados monitorados. O objetivo é permanecer oculto e reduzir ao máximo as chances de detecção.

O Android encerra aplicativos em segundo plano para economizar bateria, mas o malware burla essa função reproduzindo um arquivo de áudio quase silencioso em loop. Ele simula o uso ativo para evitar a desativação automática do Android.

Para continuar enviando comandos, o malware usa o Firebase Cloud Messaging, um serviço legítimo do Google. Isso facilita para os atacantes o envio de novas instruções e o gerenciamento da atividade no dispositivo infectado.

Trojan bancário tem como alvo transferências de USDT

O malware faz mais do que minerar criptomoedas. Algumas versões também instalam um Trojan bancário que ataca Binance e a Trust Wallet, especialmente durante transferências de USDT. Ele sobrepõe telas falsas aos aplicativos legítimos e, em seguida, substitui silenciosamente o endereço da carteira por um controlado pelo atacante.

O módulo bancário também monitora navegadores como Chrome e Brave e oferece suporte a uma ampla gama de comandos remotos. Isso inclui gravar áudio, capturar telas, enviar mensagens SMS, bloquear o dispositivo, apagar dados e registrar as teclas digitadas.

Outras amostras recentes mantêm o mesmo método de distribuição do aplicativo falso, mas mudam para uma carga útil diferente. Elas instalam o BTMOB RAT, uma ferramenta de acesso remoto vendida em mercados clandestinos.

O BTMOB faz parte de um ecossistema de malware como serviço (MaaS). Os atacantes podem comprá-lo ou alugá-lo, o que reduz as barreiras para invasões e roubos. A ferramenta concede aos atacantes acesso mais profundo, incluindo gravação de tela, acesso à câmera, tracpor GPS e roubo dedent.

O BTMOB é ativamente promovido online. Um agente malicioso compartilhou demonstrações do malware no YouTube, mostrando como controlar dispositivos infectados. Vendas e suporte são gerenciados por meio de uma conta do Telegram.

A SecureList afirmou que todas as vítimas conhecidas estão no Brasil. Algumas variantes mais recentes também estão se espalhando pelo WhatsApp e outras páginas de phishing .

Campanhas de hackers sofisticadas como essa servem de lembrete para verificarmos tudo e não confiarmos em nada.

As mentes mais brilhantes do mundo das criptomoedas já leem nossa newsletter. Quer participar? Junte-se a elas .