Hacker giả mạo trang Google Play Store, thực hiện cuộc tấn công khai thác tiền điện tử và cướp ví điện tử nhắm vào người dùng Brazil

Tin tức Gate, ngày 22 tháng 3, theo tiết lộ của SecureList, hacker gần đây đã thực hiện các hoạt động tấn công phần mềm độc hại Android tại Brazil thông qua các trang phishing giả mạo Google Play Store. Hiện tất cả các nạn nhân đã biết đều nằm ở Brazil.

Kẻ tấn công đã xây dựng một trang web phishing rất giống Google Play, dụ người dùng tải xuống ứng dụng giả mạo có tên “INSS Reembolso”. Sau khi cài đặt, ứng dụng sẽ phân giai đoạn phát hành mã độc ẩn, trực tiếp tải vào bộ nhớ để chạy, không để lại tệp trên thiết bị, có khả năng ẩn cao.

Một trong những chức năng chính của phần mềm độc hại là khai thác tiền điện tử, tích hợp chương trình khai thác XMRig được biên dịch cho thiết bị ARM, có thể âm thầm kết nối tới máy chủ khai thác do hacker kiểm soát trong nền. Chương trình này sẽ theo dõi dung lượng pin, nhiệt độ và trạng thái sử dụng của thiết bị, điều chỉnh hành vi khai thác để tránh bị phát hiện, đồng thời sử dụng vòng lặp phát tệp âm thanh im lặng để vượt qua cơ chế quản lý tiến trình nền của hệ điều hành Android.

Một số biến thể còn tích hợp Trojan ngân hàng, có thể chồng các trang giả mạo lên giao diện chuyển USDT của một sàn CEX hoặc ví điện tử, âm thầm thay thế địa chỉ nhận tiền. Ngoài ra, phần mềm độc hại còn hỗ trợ các lệnh điều khiển từ xa như ghi âm, chụp màn hình, ghi bàn phím và khóa thiết bị từ xa.