ゲートニュースによると、3月22日、SecureListが明らかにしたところによると、ハッカーは最近、Google Playストアを模倣したフィッシングページを通じて、ブラジルでAndroidマルウェア攻撃を開始しました。現在判明している被害者はすべてブラジルにいます。
攻撃者はGoogle Playに非常に似たフィッシングサイトを構築し、ユーザーに「INSS Reembolso」という偽アプリのダウンロードを誘導しました。このアプリはインストール後、段階的に隠されたマルウェアコードを解放し、直接メモリに読み込まれて動作し、端末上に見えるファイルを残さないため、非常に隠密性が高いです。
マルウェアの主要な機能の一つは暗号通貨のマイニングで、ARMデバイス向けにコンパイルされたXMRigマイニングプログラムを内蔵し、バックグラウンドで攻撃者が制御するマイニングサーバーに静かに接続します。このプログラムはバッテリー残量、温度、端末の使用状況を監視し、検出を回避するためにマイニング動作を動的に調整します。また、静かな音声ファイルをループ再生することで、Androidシステムのバックグラウンドプロセス管理機能を回避します。
一部の亜種には銀行トロイの木馬も内蔵されており、特定のCEXやウォレットのUSDT送金画面に偽のページを重ねて、受取アドレスを静かに置き換えます。さらに、マルウェアは録音、スクリーンショット、キーロギング、リモートロックなどの遠隔操作コマンドもサポートしています。
