Хакеры подделали страницы Google Play Store для проведения атак с целью майнинга криптовалюты и захвата кошельков, нацеленных на бразильских пользователей.

В Бразилии хакеры осуществили атаки с использованием вредоносного ПО для Android, создав фишинговую страницу, имитирующую магазин Google Play. В настоящее время все известные жертвы находятся в Бразилии.

Злоумышленники создали фишинговый сайт, очень похожий на Google Play, и заманивали пользователей к загрузке поддельного приложения под названием "INSS Reembolso". После установки приложение поэтапно выпускает скрытый вредоносный код и загружает его непосредственно в память, не оставляя видимых файлов на устройстве, что делает его чрезвычайно незаметным. Одна из основных функций вредоносной программы — майнинг криптовалюты. Встроенная программа XMRig, скомпилированная для устройств ARM, незаметно подключается к контролируемому злоумышленником майнинговому серверу в фоновом режиме. Программа отслеживает уровень заряда батареи, температуру и состояние использования устройства, динамически корректируя поведение майнинга для избежания обнаружения, а также обходит механизм управления фоновыми процессами Android, воспроизводя бесшумные аудиофайлы в циклическом режиме.

Некоторые варианты также включают банковские трояны, которые могут накладывать поддельные страницы на интерфейс перевода USDT в Binance и Trust Wallet, незаметно заменяя адрес получателя. Кроме того, вредоносная программа поддерживает различные команды удаленного управления, такие как запись, создание скриншотов, перехват нажатий клавиш и удаленная блокировка устройства.