Hackers falsificaron la página de Google Play Store dirigiéndose a usuarios brasileños con ataques de minería de criptomonedas y secuestro de billeteras

Noticias de Gate News, el 22 de marzo, según lo divulgado por SecureList, los hackers han lanzado recientemente una campaña de malware en Android en Brasil mediante páginas de phishing que imitan la tienda Google Play. Actualmente, todas las víctimas conocidas se encuentran en Brasil.

Los atacantes han creado un sitio de phishing muy similar a Google Play, que induce a los usuarios a descargar una aplicación falsa llamada “INSS Reembolso”. Tras la instalación, la aplicación libera en fases código malicioso oculto y se carga directamente en la memoria para su ejecución, sin dejar archivos visibles en el dispositivo, lo que le confiere una alta capacidad de ocultación.

Una de las funciones principales del malware es la minería de criptomonedas, incorporando un programa de minería XMRig compilado para dispositivos ARM, que se conecta en silencio en segundo plano a un servidor de minería controlado por los atacantes. Este programa monitorea el nivel de batería, la temperatura y el uso del dispositivo, ajustando dinámicamente su comportamiento de minería para evitar detecciones, y reproduce en bucle archivos de audio en silencio para sortear el mecanismo de gestión de procesos en segundo plano del sistema Android.

Algunas variantes también incluyen un troyano bancario, que puede superponer páginas falsas en la interfaz de transferencia de USDT en ciertos exchanges centralizados (CEX) y en algunas billeteras, reemplazando silenciosamente la dirección de recepción. Además, el malware soporta comandos de control remoto como grabación de audio, captura de pantalla, registro de teclas y bloqueo remoto del dispositivo.