黑客模仿Google Play传播加密货币挖矿恶意软件

黑客正通过新的网络钓鱼计划攻击受害者。根据SecureList的一篇文章,黑客正在使用假冒的Google Play商店页面在巴西传播Android恶意软件活动。

这个有害应用看起来像是合法下载,但一旦安装,它会将受感染的手机转变为加密货币挖矿机器。此外,它还用于安装银行恶意软件并授予威胁行为者远程访问权限。

黑客将巴西智能手机变成加密货币挖矿机器

该活动始于一个与Google Play几乎一模一样的钓鱼网站。其中一个页面提供了一个名为INSS Reembolso的假冒应用,声称与巴西的社会保障服务相关联。UX/UI设计复制了可信的政府服务和Play商店布局,使下载看起来很安全。

安装假冒应用后,恶意软件会分多个阶段解压隐藏代码。它使用加密组件并将主要恶意代码直接加载到内存中。设备上没有可见的文件,这使得用户很难检测到任何可疑活动。

该恶意软件还会躲避安全研究人员的分析。它会检查手机是否在模拟环境中运行。如果检测到模拟环境,它就会停止工作。

成功安装后,恶意软件会继续下载更多恶意文件。它显示另一个假冒的Google Play风格屏幕,然后显示虚假的更新提示并促使用户点击更新按钮。

其中一个文件是加密货币挖矿程序,它是为ARM设备编译的XMRig版本。恶意软件从攻击者控制的基础设施中获取挖矿负载。然后对其进行解密并在手机上运行。该负载将受感染的设备连接到攻击者控制的挖矿服务器,在后台静默挖掘加密货币。

该恶意软件很复杂,不会盲目挖掘加密货币。根据SecureList的分析,恶意软件会监控电池电量百分比、温度、安装时长以及手机是否正在被积极使用。挖矿会根据监控数据启动或停止。目标是保持隐藏并减少任何被检测的机会。

Android会终止后台应用以节省电量,但恶意软件通过循环播放几乎无声的音频文件来规避这一点。它伪装成活跃使用状态以避免Android的自动停用。

为了继续发送命令,恶意软件使用Firebase Cloud Messaging,这是一项合法的Google服务。这使得攻击者可以轻松发送新指令并管理受感染设备上的活动。

银行木马针对USDT转账

该恶意软件的功能不仅仅是挖矿。一些版本还会安装银行木马,针对币安和Trust Wallet,尤其是在USDT转账期间。它在真实应用程序上覆盖假屏幕,然后悄悄将钱包地址替换为攻击者控制的地址。

银行模块还会监控Chrome和Brave等浏览器,并支持广泛的远程命令。这些命令包括录制音频、捕获屏幕、发送短信、锁定设备、擦除数据和记录按键。

其他最近的样本保持相同的假冒应用分发方法,但切换到不同的负载。它们安装BTMOB RAT,这是一种在地下市场销售的远程访问工具。

BTMOB是恶意软件即服务(MaaS)生态系统的一部分。攻击者可以购买或租用它,这降低了黑客攻击和盗窃的门槛。该工具为攻击者提供更深层次的访问权限,包括屏幕录制、相机访问、GPS跟踪和凭证窃取。

BTMOB在网上被积极推广。一名威胁行为者在YouTube上分享了该恶意软件的演示,展示如何控制受感染的设备。销售和支持通过Telegram账户处理。

SecureList表示,所有已知的受害者都在巴西。一些较新的变体也通过WhatsApp和其他钓鱼页面传播。

像这样复杂的黑客活动提醒我们要验证一切,不要相信任何东西。

不要只是阅读加密货币新闻。要理解它。订阅我们的新闻通讯。它是免费的。