Хакери підробили сторінки Google Play Store для видобутку криптовалюти та викрадення гаманців, атакуючи бразильських користувачів

Хакери запустили атаки зловмисного програмного забезпечення для Android у Бразилії, створивши фішингову сторінку, що імітує Google Play Store. Всі відомі наразі жертви знаходяться в Бразилії.

Зловмисники створили фішинговий веб-сайт, який дуже схожий на Google Play, спокушаючи користувачів завантажити підроблену програму під назвою «INSS Reembolso». Після встановлення програма вивільняє прихований шкідливий код поетапно і завантажує його безпосередньо в пам'ять, не залишаючи видимих файлів на пристрої, що робить її дуже прихованим. Однією з основних функцій шкідливого програмного забезпечення є видобуток криптовалюти за допомогою вбудованої програми видобутку XMRig, скомпільованої для пристроїв ARM, яка мовчки підключається до керованого зловмисником сервера видобутку у фоновому режимі. Програма контролює рівень заряду батареї, температуру та статус використання пристрою, динамічно налаштовуючи поведінку видобутку, щоб уникнути виявлення, і обходить механізм управління фоновими процесами Android, циклічно відтворюючи беззвучні аудіофайли.

Деякі варіанти також включають банківських троянів, які можуть накладати підроблені сторінки на інтерфейс передачі USDT Binance і Trust Wallet, мовчки замінюючи адресу одержувача. Крім того, шкідливе програмне забезпечення підтримує різні команди дистанційного керування, такі як запис, створення скріншотів, реєстрація натискань клавіш і віддалене блокування пристрою.