Hacker imitieren Google Play, um Krypto-Mining-Malware zu verbreiten

Hacker zielen mit einer neuen Phishing-Masche auf Opfer ab. Laut einem Beitrag von SecureList nutzen Hacker gefälschte Google Play Store-Seiten, um in Brasilien eine Android-Malware-Kampagne zu verbreiten.

Die schädliche App erscheint als legitimer Download, verwandelt infizierte Smartphones nach der Installation jedoch in Krypto-Mining-Maschinen. Darüber hinaus wird sie genutzt, um Banking-Malware zu installieren und Angreifern Fernzugriff zu gewähren.

Hacker verwandeln brasilianische Smartphones in Krypto-Mining-Maschinen

Die Kampagne beginnt auf einer Phishing-Website, die Google Play täuschenddentsieht. Auf einer der Seiten wird eine gefälschte App namens INSS Reembolso angeboten, die vorgibt, mit dem brasilianischen Sozialversicherungssystem verbunden zu sein. Das UX/UI-Design kopiert einen vertrauenswürdigen Regierungsdienst und das Layout des Play Stores, um den Download sicher erscheinen zu lassen.

Nach der Installation der gefälschten App entpackt die Schadsoftware in mehreren Schritten versteckten Code. Sie verwendet verschlüsselte Komponenten und lädt den eigentlichen Schadcode direkt in den Arbeitsspeicher. Da keine sichtbaren Dateien auf dem Gerät vorhanden sind, ist es für Benutzer schwierig, verdächtige Aktivitäten zu erkennen.

Die Schadsoftware entzieht sich auch der Analyse durch Sicherheitsforscher. Sie prüft, ob das Telefon in einer emulierten Umgebung läuft. Wird dies erkannt, stellt sie ihre Funktion ein.

Nach erfolgreicher Installation lädt die Schadsoftware weitere schädliche Dateien herunter. Anschließend wird ein gefälschter Bildschirm im Google Play-Stil angezeigt, gefolgt von einer falschen Aktualisierungsaufforderung, die den Nutzer zum Tippen auf die Aktualisierungsschaltfläche auffordert.

Eine dieser Dateien ist ein Krypto-Miner, eine für ARM-Geräte kompilierte Version von XMRig. Die Schadsoftware lädt die Mining-Payload von der Infrastruktur der Angreifer herunter, entschlüsselt sie und führt sie auf dem Smartphone aus. Die Payload verbindet infizierte Geräte mit den Mining-Servern der Angreifer, um unbemerkt im Hintergrund Kryptowährungen zu schürfen.

Die Malware ist hochentwickelt und betreibt kein wahlloses Krypto-Mining. Laut einer Analyse von SecureList überwacht sie den Akkuladestand, die Temperatur, das Installationsalter und die aktive Nutzung des Telefons. Basierend auf diesen Daten startet oder stoppt das Mining. Ziel ist es, unentdeckt zu bleiben und jegliches Entdeckungsrisiko zu minimieren.

Android beendet Hintergrund-Apps, um Akku zu sparen. Die Schadsoftware umgeht dies jedoch, indem sie eine fast stumme Audiodatei in einer Endlosschleife abspielt. Sie simuliert aktive Nutzung, um die automatische Deaktivierung durch Android zu verhindern.

Um weiterhin Befehle zu senden, nutzt die Schadsoftware Firebase Cloud Messaging, einen legitimen Google-Dienst. Dies erleichtert es Angreifern, neue Anweisungen zu senden und die Aktivitäten auf dem infizierten Gerät zu steuern.

Banking-Trojaner zielt auf USDT-Transfers ab

Die Schadsoftware beschränkt sich nicht nur auf das Schürfen von Kryptowährungen. Einige Versionen installieren zusätzlich einen Banking-Trojaner, der Binance und Trust Wallet, insbesondere bei USDT-Transfers, ins Visier nimmt. Er blendet gefälschte Benutzeroberflächen über die echten Anwendungen ein und ersetzt dann unbemerkt die Wallet-Adresse durch eine vom Angreifer kontrollierte Adresse.

Das Banking-Modul überwacht außerdem Browser wie Chrome und Brave und unterstützt eine Vielzahl von Fernsteuerungsbefehlen. Dazu gehören Audioaufnahmen, Bildschirmaufnahmen, das Versenden von SMS, das Sperren des Geräts, das Löschen von Daten und das Protokollieren von Tastatureingaben.

Andere neuere Beispiele verwenden zwar dieselbe gefälschte App-Übermittlungsmethode, wechseln aber zu einer anderen Nutzlast. Sie installieren BTMOB RAT, ein Fernzugriffstool, das auf Untergrundmärkten verkauft wird.

BTMOB ist Teil eines Malware-as-a-Service-Ökosystems (MaaS). Angreifer können es kaufen oder mieten, was die Hürde für Hacking und Diebstahl senkt. Das Tool ermöglicht Angreifern weitreichenden Zugriff, darunter Bildschirmaufzeichnung, Kamerazugriff, GPS- tracunddentDiebstahl von Zugangsdaten.

BTMOB wird aktiv online beworben. Ein Angreifer teilte Demos der Schadsoftware auf YouTube und zeigte, wie infizierte Geräte gesteuert werden können. Vertrieb und Support erfolgen über einen Telegram-Account.

SecureList gab an, dass sich alle bekannten Opfer in Brasilien befinden. Einige neuere Varianten verbreiten sich auch über WhatsApp und andere Phishing-Seiten .

Derart ausgeklügelte Hacking-Kampagnen erinnern uns daran, alles zu überprüfen und nichts zu vertrauen.

Die klügsten Köpfe der Krypto-Szene lesen bereits unseren Newsletter. Möchten Sie auch dabei sein? Dann schließen Sie sich ihnen an .