Хакери підробили сторінку Google Play Store, здійснюючи атаки на видобування криптовалют та перехоплення гаманців, спрямовані на бразильських користувачів

Gate News повідомляє, 22 березня, згідно з даними SecureList, хакери нещодавно здійснили фішингову атаку на Android у Бразилії, імітуючи сторінки Google Play. Всі відомі жертви наразі знаходяться у Бразилії.

Зловмисники створили фішинговий сайт, дуже схожий на Google Play, щоб спонукати користувачів завантажити підроблений додаток під назвою “INSS Reembolso”. Після встановлення цей додаток поетапно розкриває прихований шкідливий код і безпосередньо завантажує його в пам’ять, не залишаючи видимих файлів на пристрої, що забезпечує високий рівень приховності.

Однією з основних функцій шкідливого програмного забезпечення є майнінг криптовалюти, для чого воно має вбудовану версію майнінгової програми XMRig, скомпільовану для ARM- пристроїв. Вона може тихо підключатися до керованого зловмисниками майнінгового сервера у фоновому режимі. Програма контролює рівень заряду батареї, температуру та стан пристрою, динамічно регулює майнінг для уникнення виявлення і використовує циклічне відтворення беззвучних аудіофайлів для обходу системи управління фоновими процесами Android.

Деякі варіанти також містять банківський троян, який може накладати підроблені сторінки на інтерфейси переказу USDT на певних централізованих біржах (CEX) і гаманцях, мовчки замінюючи адресу отримувача. Крім того, шкідливе програмне забезпечення підтримує функції запису звуку, знімків екрана, клавіатурного шпигунства та віддаленого блокування пристрою.