هکرها صفحات فروشگاه گوگل پلی را جعل کردند تا حملات استخراج ارز دیجیتال و سرقت کیف پول را علیه کاربران برزیلی انجام دهند

هکرها حملات بدافزار اندروید را در برزیل با جعل یک صفحه فیشینگ که شبیه فروشگاه گوگل پلی است، آغاز کرده‌اند. در حال حاضر، تمام قربانیان شناخته شده در برزیل قرار دارند.

مهاجمان یک وب‌سایت فیشینگ راه‌اندازی کردند که به شدت شبیه گوگل پلی است و کاربران را به دانلود یک برنامه جعلی به نام "INSS Reembolso" ترغیب می‌کند. پس از نصب، این برنامه کد مخرب پنهانی را به صورت مرحله‌ای آزاد می‌کند و آن را مستقیماً در حافظه بارگذاری می‌کند، بدون اینکه فایل‌های قابل مشاهده‌ای بر روی دستگاه باقی بگذارد که این امر آن را بسیار پنهان می‌سازد. یکی از عملکردهای اصلی این بدافزار استخراج ارز دیجیتال است، با یک برنامه استخراج XMRig که برای دستگاه‌های ARM کامپایل شده و به طور خاموش به سرور استخراج کنترل شده توسط مهاجم در پس‌زمینه متصل می‌شود. این برنامه سطح باتری، دما و وضعیت استفاده از دستگاه را نظارت می‌کند و رفتار استخراج را به طور پویا تنظیم می‌کند تا از شناسایی فرار کند و مکانیزم مدیریت فرآیند پس‌زمینه اندروید را با تکرار فایل‌های صوتی بی‌صدا دور می‌زند.

برخی از واریانت‌ها همچنین شامل تروجان‌های بانکی هستند که می‌توانند صفحات جعلی را بر روی رابط انتقال USDT در بایننس و Trust Wallet قرار دهند و به طور خاموش آدرس گیرنده را جایگزین کنند. علاوه بر این، این بدافزار از دستورات کنترل از راه دور مختلفی مانند ضبط، عکس‌برداری از صفحه، کلیدزنی و قفل‌گذاری از راه دور دستگاه پشتیبانی می‌کند.