Hacker imitieren Google Play, um Krypto-Mining-Malware zu verbreiten

Hacker zielen mit einem neuen Phishing-Schema auf Opfer ab. Laut einem Beitrag von SecureList verwenden Hacker gefälschte Google Play Store-Seiten, um eine Android-Malware-Kampagne in Brasilien zu verbreiten.

Die schädliche App erscheint als legitimer Download, aber sobald sie installiert ist, verwandelt sie infizierte Telefone in Krypto-Mining Maschinen. Darüber hinaus wird sie verwendet, um Banking-Malware zu installieren und Bedrohungsakteuren Fernzugriff zu gewähren.

Hacker verwandeln brasilianische Smartphones in Krypto-Mining Maschinen

Die Kampagne beginnt auf einer Phishing-Website, die fast identisch mit Google Play aussieht. Eine der Seiten bietet eine gefälschte App namens INSS Reembolso an, die angeblich mit Brasiliens Sozialversicherungsdienst verbunden ist. Das UX/UI-Design kopiert einen vertrauenswürdigen Regierungsdienst und das Play Store-Layout, um den Download sicher erscheinen zu lassen.

Nach der Installation der gefälschten App entpackt die Malware versteckten Code in mehreren Stufen. Sie verwendet verschlüsselte Komponenten und lädt den hauptsächlichen bösartigen Code direkt in den Speicher. Es gibt keine sichtbaren Dateien auf dem Gerät, was es für Benutzer schwierig macht, verdächtige Aktivitäten zu erkennen.

Die Malware umgeht auch die Analyse durch Sicherheitsforscher. Sie prüft, ob das Telefon in einer emulierten Umgebung läuft. Wenn sie eine erkennt, stoppt sie die Arbeit.

Nach erfolgreicher Installation lädt die Malware weiterhin mehr bösartige Dateien herunter. Sie zeigt einen weiteren gefälschten Google Play-ähnlichen Bildschirm, zeigt dann eine falsche Update-Aufforderung an und drängt den Benutzer, die Update-Schaltfläche zu drücken.

Eine dieser Dateien ist ein Krypto-Miner, eine Version von XMRig, die für ARM-Geräte kompiliert wurde. Die Malware ruft die Mining-Payload von einer von Angreifern kontrollierten Infrastruktur ab. Dann entschlüsselt sie diese und führt sie auf dem Telefon aus. Die Payload verbindet infizierte Geräte mit Mining-Servern, die von den Angreifern kontrolliert werden, um Kryptowährungen still im Hintergrund zu minen.

Die Malware ist ausgeklügelt und mint Kryptowährungen nicht blind. Laut der Analyse von SecureList überwacht die Malware den Batterieprozentsatz, die Temperatur, das Installationsalter und ob das Telefon aktiv genutzt wird. Das Mining startet oder stoppt basierend auf den überwachten Daten. Das Ziel ist es, verborgen zu bleiben und jede Chance auf Entdeckung zu reduzieren.

Android beendet Hintergrund-Apps, um Batterie zu sparen, aber die Malware umgeht dies, indem sie eine fast stille Audiodatei in einer Schleife abspielt. Sie täuscht aktive Nutzung vor, um Androids automatische Deaktivierung zu vermeiden.

Um weiterhin Befehle zu senden, verwendet die Malware Firebase Cloud Messaging, einen legitimen Google-Dienst. Dies macht es Angreifern leicht, neue Anweisungen zu senden und Aktivitäten auf dem infizierten Gerät zu verwalten.

Banking-Trojaner zielt auf USDT-Transfers ab

Die Malware tut mehr, als nur Coins zu minen. Einige Versionen installieren auch einen Banking-Trojaner, der auf Binance und Trust Wallet abzielt, insbesondere während USDT-Transfers. Er überlagert gefälschte Bildschirme über die echten Apps und ersetzt dann leise die Wallet-Adresse durch eine vom Angreifer kontrollierte.

Das Banking-Modul überwacht auch Browser wie Chrome und Brave und unterstützt eine breite Palette von Fernbefehlen. Dazu gehören das Aufzeichnen von Audio, das Erfassen von Bildschirmen, das Senden von SMS-Nachrichten, das Sperren des Geräts, das Löschen von Daten und das Protokollieren von Tastenanschlägen.

Andere neuere Samples behalten die gleiche gefälschte App-Zustellungsmethode bei, wechseln aber zu einer anderen Payload. Sie installieren BTMOB RAT, ein Remote-Access-Tool, das in Untergrundmärkten verkauft wird.

BTMOB ist Teil eines Malware-as-a-Service (MaaS)-Ökosystems. Angreifer können es kaufen oder mieten, was die Hürde für Hacking und Diebstahl senkt. Das Tool gewährt Angreifern tieferen Zugriff, einschließlich Bildschirmaufzeichnung, Kamerazugriff, GPS-Tracking und Anmeldedatendiebstahl.

BTMOB wird aktiv online beworben. Ein Bedrohungsakteur hat Demos der Malware auf YouTube geteilt und gezeigt, wie man infizierte Geräte kontrolliert. Verkauf und Support werden über ein Telegram-Konto abgewickelt.

SecureList erklärte, dass sich alle bekannten Opfer in Brasilien befinden. Einige neuere Varianten verbreiten sich auch über WhatsApp und andere Phishing-Seiten.

Ausgeklügelte Hacking-Kampagnen wie diese sind Erinnerungen daran, alles zu überprüfen und nichts zu vertrauen.

Lesen Sie nicht nur Krypto-Nachrichten. Verstehen Sie sie. Abonnieren Sie unseren Newsletter. Er ist kostenlos.