แฮกเกอร์ปลอมแปลง Google Play เพื่อเผยแพร่มัลแวร์ขุดคริปโต

แฮกเกอร์กำลังกำหนดเป้าหมายเหยื่อผ่านแผนฟิชชิ่งรูปแบบใหม่ ตามโพสต์จาก SecureList แฮกเกอร์กำลังใช้หน้า Google Play Store ปลอมเพื่อเผยแพร่แคมเปญมัลแวร์ Android ในบราซิล

แอปที่เป็นอันตรายดูเหมือนการดาวน์โหลดที่ถูกต้องตามกฎหมาย แต่เมื่อติดตั้งแล้ว มันจะเปลี่ยนโทรศัพท์ที่ติดไวรัสให้กลายเป็นเครื่องขุดคริปโต นอกจากนี้ยังใช้เพื่อติดตั้งมัลแวร์ทางการธนาคารและให้สิทธิ์การเข้าถึงระยะไกลแก่ผู้คุกคามด้วย

แฮกเกอร์เปลี่ยนสมาร์ทโฟนของบราซิลให้กลายเป็นเครื่องขุดคริปโต

แคมเปญเริ่มต้นบนเว็บไซต์ฟิชชิ่งที่ดูเหมือน Google Play เกือบจะเหมือนกันทุกประการ หนึ่งในหน้าเหล่านั้นเสนอแอปปลอมที่เรียกว่า INSS Reembolso ซึ่งอ้างว่าเชื่อมโยงกับบริการประกันสังคมของบราซิล การออกแบบ UX/UI คัดลอกบริการของรัฐบาลที่น่าเชื่อถือและเลย์เอาต์ของ Play Store เพื่อทำให้การดาวน์โหลดดูปลอดภัย

หลังจากติดตั้งแอปปลอม มัลแวร์จะแกะโค้ดที่ซ่อนอยู่ในหลายขั้นตอน มันใช้ส่วนประกอบที่เข้ารหัสและโหลดโค้ดที่เป็นอันตรายหลักเข้าสู่หน่วยความจำโดยตรง ไม่มีไฟล์ที่มองเห็นได้บนอุปกรณ์ ทำให้ผู้ใช้ตรวจจับกิจกรรมที่น่าสงสัยได้ยาก

มัลแวร์ยังหลีกเลี่ยงการวิเคราะห์โดยนักวิจัยด้านความปลอดภัยด้วย มันตรวจสอบว่าโทรศัพท์กำลังทำงานในสภาพแวดล้อมจำลองหรือไม่ หากตรวจพบ มันจะหยุดทำงาน

หลังจากติดตั้งสำเร็จ มัลแวร์ยังคงดาวน์โหลดไฟล์ที่เป็นอันตรายเพิ่มเติม มันแสดงหน้าจอสไตล์ Google Play ปลอมอีกอัน จากนั้นแสดงข้อความอัปเดตปลอมและผลักดันให้ผู้ใช้แตะปุ่มอัปเดต

หนึ่งในไฟล์เหล่านั้นคือเครื่องขุดคริปโต ซึ่งเป็นเวอร์ชันของ XMRig ที่คอมไพล์สำหรับอุปกรณ์ ARM มัลแวร์ดึงเพย์โหลดการขุดจากโครงสร้างพื้นฐานที่ผู้โจมตีควบคุม จากนั้นจึงถอดรหัสและเรียกใช้บนโทรศัพท์ เพย์โหลดเชื่อมต่ออุปกรณ์ที่ติดไวรัสกับเซิร์ฟเวอร์ขุดที่ผู้โจมตีควบคุมเพื่อขุดคริปโตอย่างเงียบๆ ในพื้นหลัง

มัลแวร์มีความซับซ้อนและไม่ขุดคริปโตอย่างสุ่มสี่สุ่มห้า ตามการวิเคราะห์ของ SecureList มัลแวร์ตรวจสอบเปอร์เซ็นต์การชาร์จแบตเตอรี่ อุณหภูมิ อายุการติดตั้ง และว่าโทรศัพท์กำลังถูกใช้งานอยู่หรือไม่ การขุดเริ่มหรือหยุดตามข้อมูลที่ตรวจสอบได้ เป้าหมายคือการซ่อนตัวและลดโอกาสในการถูกตรวจจับ

Android จะปิดแอปพื้นหลังเพื่อประหยัดแบตเตอรี่ แต่มัลแวร์หลีกเลี่ยงสิ่งนี้โดยการวนลูปไฟล์เสียงที่เกือบจะเงียบ มันปลอมการใช้งานที่ใช้งานอยู่เพื่อหลีกเลี่ยงการปิดใช้งานอัตโนมัติของ Android

เพื่อส่งคำสั่งต่อไป มัลแวร์ใช้ Firebase Cloud Messaging ซึ่งเป็นบริการที่ถูกต้องของ Google สิ่งนี้ทำให้ผู้โจมตีส่งคำสั่งใหม่และจัดการกิจกรรมบนอุปกรณ์ที่ติดไวรัสได้อย่างง่ายดาย

Banking Trojan กำหนดเป้าหมายการโอน USDT

มัลแวร์ทำมากกว่าแค่ขุดเหรียญ บางเวอร์ชันยังติดตั้ง Banking Trojan ที่กำหนดเป้าหมาย Binance และ Trust Wallet โดยเฉพาะในระหว่างการโอน USDT มันวางหน้าจอปลอมทับแอปจริง จากนั้นจึงแทนที่ที่อยู่กระเป๋าเงินด้วยที่อยู่ที่ผู้โจมตีควบคุมอย่างเงียบๆ

โมดูลการธนาคารยังตรวจสอบเบราว์เซอร์เช่น Chrome และ Brave และรองรับคำสั่งระยะไกลที่หลากหลาย ซึ่งรวมถึงการบันทึกเสียง การจับภาพหน้าจอ การส่งข้อความ SMS การล็อคอุปกรณ์ การลบข้อมูล และการบันทึกการกดแป้นพิมพ์

ตัวอย่างล่าสุดอื่นๆ รักษาวิธีการส่งมอบแอปปลอมเดียวกัน แต่เปลี่ยนไปใช้เพย์โหลดที่แตกต่างกัน พวกเขาติดตั้ง BTMOB RAT ซึ่งเป็นเครื่องมือการเข้าถึงระยะไกลที่ขายในตลาดใต้ดิน

BTMOB เป็นส่วนหนึ่งของระบบนิเวศ malware-as-a-Service (MaaS) ผู้โจมตีสามารถซื้อหรือเช่ามันได้ ซึ่งลดอุปสรรคในการแฮ็กและขโมย เครื่องมือนี้ให้การเข้าถึงที่ลึกขึ้นแก่ผู้โจมตี รวมถึงการบันทึกหน้าจอ การเข้าถึงกล้อง การติดตาม GPS และการขโมยข้อมูลรับรอง

BTMOB ได้รับการโปรโมตอย่างแข็งขันทางออนไลน์ ผู้คุกคามได้แชร์การสาธิตมัลแวร์บน YouTube แสดงวิธีควบคุมอุปกรณ์ที่ติดไวรัส การขายและการสนับสนุนจัดการผ่านบัญชี Telegram

SecureList ระบุว่าเหยื่อที่ทราบทั้งหมดอยู่ในบราซิล ตัวแปรใหม่บางตัวยังแพร่กระจายผ่าน WhatsApp และหน้าฟิชชิ่งอื่นๆ ด้วย

แคมเปญการแฮ็กที่ซับซ้อนเช่นนี้เป็นเครื่องเตือนใจให้ตรวจสอบทุกอย่างและไม่ไว้วางใจสิ่งใด

อย่าเพียงแค่อ่านข่าวคริปโต ให้เข้าใจมัน สมัครรับจดหมายข่าวของเรา ฟรี