Unos hackers falsificaron páginas de Google Play Store para llevar a cabo ataques de minería de criptomonedas y secuestro de monederos dirigidos a usuarios brasileños

Unos hackers han lanzado ataques de malware para Android en Brasil mediante una página de phishing que imita la tienda Google Play. En la actualidad, todas las víctimas conocidas se encuentran en Brasil.

Los atacantes crearon una página web de phishing muy parecida a Google Play, con el fin de engañar a los usuarios para que descargaran una aplicación falsa llamada «INSS Reembolso». Una vez instalada, la aplicación libera código malicioso oculto por etapas y lo carga directamente en la memoria, sin dejar archivos visibles en el dispositivo, lo que la hace muy difícil de detectar. Una de las funciones principales del malware es la minería de criptomonedas, ya que incorpora un programa de minería XMRig compilado para dispositivos ARM que se conecta de forma silenciosa y en segundo plano al servidor de minería controlado por el atacante. El programa supervisa el nivel de batería, la temperatura y el estado de uso del dispositivo, ajustando dinámicamente el comportamiento de minería para evitar ser detectado, y elude el mecanismo de gestión de procesos en segundo plano de Android mediante la reproducción en bucle de archivos de audio silenciosos.

Algunas variantes también incluyen troyanos bancarios capaces de superponer páginas falsas sobre la interfaz de transferencia de USDT de Binance y Trust Wallet, sustituyendo de forma silenciosa la dirección del destinatario. Además, el malware admite diversos comandos de control remoto, como la grabación, la captura de pantalla, el registro de pulsaciones de teclas y el bloqueo remoto del dispositivo.