ハッカーがGoogle Playストアのページを偽造し、ブラジルのユーザーを対象に暗号通貨のマイニングとウォレットのハイジャック攻撃を実施

ハッカーはGoogle Playストアを模倣したフィッシングページを通じて、ブラジルでAndroidマルウェア攻撃を開始しました。現在、すべての既知の被害者はブラジルにいます。

攻撃者はGoogle Playに非常に似たフィッシングサイトを構築し、ユーザーに「INSS Reembolso」という偽のアプリをダウンロードさせるように誘導しました。このアプリがインストールされると、段階的に隠された悪意のあるコードが解放され、直接メモリにロードされて実行され、デバイス上に可視ファイルを残さず、非常に高い隠蔽性を持っています。マルウェアの主要な機能の一つは暗号通貨のマイニングであり、ARMデバイス用にコンパイルされたXMRigマイニングプログラムが内蔵されており、バックグラウンドで静かに攻撃者が制御するマイニングサーバーに接続します。このプログラムはバッテリー残量、温度、デバイスの使用状況を監視し、検出を回避するためにマイニングの動作を動的に調整し、静音の音声ファイルをループ再生することでAndroidシステムのバックグラウンドプロセス管理メカニズムを回避します。

一部の亜種は銀行トロイの木馬も内蔵しており、BinanceやTrust WalletのUSDT送金画面に偽のページを重ねて静かに受取先アドレスを置き換えます。さらに、マルウェアは録音、スクリーンショット、キーボード記録、リモートロックなどの多くのリモートコントロール命令をサポートしています。