tradingkey.logo
tradingkey.logo
Suchen

Hacker imitieren Google Play, um Krypto-Mining-Malware zu verbreiten

CryptopolitanMar 22, 2026 10:32 AM
facebooktwitterlinkedin
Alle Kommentare anzeigen0

Hacker zielen mit einer neuen Phishing-Masche auf Opfer ab. Laut einem Beitrag von SecureList nutzen Hacker gefälschte Google Play Store-Seiten, um in Brasilien eine Android-Malware-Kampagne zu verbreiten.

Die schädliche App erscheint als legitimer Download, verwandelt infizierte Smartphones nach der Installation jedoch in Krypto-Mining-Maschinen. Darüber hinaus wird sie genutzt, um Banking-Malware zu installieren und Angreifern Fernzugriff zu gewähren.

Hacker verwandeln brasilianische Smartphones in Krypto-Mining-Maschinen

Die Kampagne beginnt auf einer Phishing-Website, die Google Play täuschenddentsieht. Auf einer der Seiten wird eine gefälschte App namens INSS Reembolso angeboten, die vorgibt, mit dem brasilianischen Sozialversicherungssystem verbunden zu sein. Das UX/UI-Design kopiert einen vertrauenswürdigen Regierungsdienst und das Layout des Play Stores, um den Download sicher erscheinen zu lassen.

Nach der Installation der gefälschten App entpackt die Schadsoftware in mehreren Schritten versteckten Code. Sie verwendet verschlüsselte Komponenten und lädt den eigentlichen Schadcode direkt in den Arbeitsspeicher. Da keine sichtbaren Dateien auf dem Gerät vorhanden sind, ist es für Benutzer schwierig, verdächtige Aktivitäten zu erkennen.

Die Schadsoftware entzieht sich auch der Analyse durch Sicherheitsforscher. Sie prüft, ob das Telefon in einer emulierten Umgebung läuft. Wird dies erkannt, stellt sie ihre Funktion ein.

Nach erfolgreicher Installation lädt die Schadsoftware weitere schädliche Dateien herunter. Anschließend wird ein gefälschter Bildschirm im Google Play-Stil angezeigt, gefolgt von einer falschen Aktualisierungsaufforderung, die den Nutzer zum Tippen auf die Aktualisierungsschaltfläche auffordert.

Eine dieser Dateien ist ein Krypto-Miner, eine für ARM-Geräte kompilierte Version von XMRig. Die Schadsoftware lädt die Mining-Payload von der Infrastruktur der Angreifer herunter, entschlüsselt sie und führt sie auf dem Smartphone aus. Die Payload verbindet infizierte Geräte mit den Mining-Servern der Angreifer, um unbemerkt im Hintergrund Kryptowährungen zu schürfen.

Die Malware ist hochentwickelt und betreibt kein wahlloses Krypto-Mining. Laut einer Analyse von SecureList überwacht sie den Akkuladestand, die Temperatur, das Installationsalter und die aktive Nutzung des Telefons. Basierend auf diesen Daten startet oder stoppt das Mining. Ziel ist es, unentdeckt zu bleiben und jegliches Entdeckungsrisiko zu minimieren.

Android beendet Hintergrund-Apps, um Akku zu sparen. Die Schadsoftware umgeht dies jedoch, indem sie eine fast stumme Audiodatei in einer Endlosschleife abspielt. Sie simuliert aktive Nutzung, um die automatische Deaktivierung durch Android zu verhindern.

Um weiterhin Befehle zu senden, nutzt die Schadsoftware Firebase Cloud Messaging, einen legitimen Google-Dienst. Dies erleichtert es Angreifern, neue Anweisungen zu senden und die Aktivitäten auf dem infizierten Gerät zu steuern.

Banking-Trojaner zielt auf USDT-Transfers ab

Die Schadsoftware beschränkt sich nicht nur auf das Schürfen von Kryptowährungen. Einige Versionen installieren zusätzlich einen Banking-Trojaner, der Binance und Trust Wallet, insbesondere bei USDT-Transfers, ins Visier nimmt. Er blendet gefälschte Benutzeroberflächen über die echten Anwendungen ein und ersetzt dann unbemerkt die Wallet-Adresse durch eine vom Angreifer kontrollierte Adresse.

Das Banking-Modul überwacht außerdem Browser wie Chrome und Brave und unterstützt eine Vielzahl von Fernsteuerungsbefehlen. Dazu gehören Audioaufnahmen, Bildschirmaufnahmen, das Versenden von SMS, das Sperren des Geräts, das Löschen von Daten und das Protokollieren von Tastatureingaben.

Hacker fälschen Seiten des Google Play Stores, um Kryptowährungen zu schürfen.
Gefälschte Overlay-Seiten von Binance (links) und Trust Wallet (rechts). Quelle: SecureList .

Andere neuere Beispiele verwenden zwar dieselbe gefälschte App-Übermittlungsmethode, wechseln aber zu einer anderen Nutzlast. Sie installieren BTMOB RAT, ein Fernzugriffstool, das auf Untergrundmärkten verkauft wird.

BTMOB ist Teil eines Malware-as-a-Service-Ökosystems (MaaS). Angreifer können es kaufen oder mieten, was die Hürde für Hacking und Diebstahl senkt. Das Tool ermöglicht Angreifern weitreichenden Zugriff, darunter Bildschirmaufzeichnung, Kamerazugriff, GPS- tracunddentDiebstahl von Zugangsdaten.

BTMOB wird aktiv online beworben. Ein Angreifer teilte Demos der Schadsoftware auf YouTube und zeigte, wie infizierte Geräte gesteuert werden können. Vertrieb und Support erfolgen über einen Telegram-Account.

SecureList gab an, dass sich alle bekannten Opfer in Brasilien befinden. Einige neuere Varianten verbreiten sich auch über WhatsApp und andere Phishing-Seiten .

Derart ausgeklügelte Hacking-Kampagnen erinnern uns daran, alles zu überprüfen und nichts zu vertrauen.

Die klügsten Köpfe der Krypto-Szene lesen bereits unseren Newsletter. Möchten Sie auch dabei sein? Dann schließen Sie sich ihnen an .

Haftungsausschluss: Die auf dieser Website bereitgestellten Informationen dienen ausschließlich Bildungs- und Informationszwecken und stellen keine Finanz- oder Anlageberatung dar

Kommentare (0)

Klicken Sie auf die $-Schaltfläche, geben Sie das Symbol ein und wählen Sie eine Aktie, einen ETF oder einen anderen Ticker zum Verlinken aus.

0/500
Richtlinien für Kommentare
Wird geladen...

Empfohlene Artikel

FOMC-Protokoll: Fed wechselt zu neutraler Abwartehaltung, einige wenige Notenbanker sehen Notwendigkeit für Zinserhöhungen, Aufwärtsrisiken bei der Inflation werden zum Kernkonflikt

Die Federal Reserve hat am 8. Juli das Protokoll ihrer FOMC-Geldpolitiksitzung vom 16. und 17. Juni veröffentlicht. Das Dokument zeigt, dass die Politik der Fed vollständig in eine neutrale, abwartende Haltung übergegangen ist, wobei die Aufwärtsrisiken für die Inflation zum zentralen Widerspruch geworden sind. Diese FOMC-Sitzung sendete ein klares Signal, dass sich die Fed vollständig von ihrer bisherigen einseitigen Tendenz zu Zinssenkungen verabschiedet hat und in eine Phase zweiseitiger, flexibler geldpolitischer Beobachtung eingetreten ist. Eine höher als erwartet ausfallende Inflationshartnäckigkeit und deren Ausweitung sind die Hauptgründe für diesen Kurswechsel, während die Robustheit des Arbeitsmarktes und des Wirtschaftswachstums Spielraum für flexible geldpolitische Anpassungen bietet. Die Notenbankvertreter bestätigten einen weiteren Anstieg der Inflation und wiesen darauf hin, dass der Druck nicht mehr nur auf exogene Faktoren wie Energie und Zölle beschränkt ist. Stattdessen haben sich die Preissteigerungen auf eine breite Palette von Kategorien wie Transport, Flugtickets und Öl ausgeweitet, während die Dienstleistungsinflation ohne Wohnungsbau fast keine Verbesserung zeigt. Kurzfristig wird mit der Erholung der Schifffahrt durch die Straße von Hormus und dem Nachlassen der marginalen Effekte von Zöllen mit einem allmählichen Rückgang der Inflation gerechnet.
tradingkey.logo
* Referenzen, Analysen und Handelsstrategien werden vom Drittanbieter Trading Central bereitgestellt, und der Standpunkt basiert auf der unabhängigen Bewertung und Beurteilung des Analysten, ohne die Anlageziele und die finanzielle Situation der Investoren zu berücksichtigen.
Risikohinweis: Unsere Website und mobile App bieten lediglich allgemeine Informationen zu bestimmten Anlageprodukten. Finsights stellt keine Finanzberatung oder Empfehlung für ein Anlageprodukt bereit, und die Bereitstellung solcher Informationen darf nicht als Finanzberatung durch Finsights ausgelegt werden.
Anlageprodukte unterliegen erheblichen Anlagerisiken, einschließlich des möglichen Verlusts des investierten Kapitals und sind möglicherweise nicht für jeden geeignet. Die vergangene Wertentwicklung von Anlageprodukten ist nicht unbedingt ein Hinweis auf deren zukünftige Wertentwicklung.
Finsights kann Drittanbietern oder Partnern erlauben, Werbung auf unserer Website oder in unserer mobilen App oder in Teilen davon zu platzieren oder bereitzustellen. Finsights kann für diese Anzeigenvergütung erhalten, basierend auf Ihrer Interaktion mit den Werbeanzeigen.
© Urheberrecht: FINSIGHTS MEDIA PTE. LTD. Alle Rechte vorbehalten.