Hackers bootsen Google Play na om cryptomining-malware te verspreiden

Hackers richten zich op slachtoffers via een nieuw phishingplan. Volgens een bericht van SecureList gebruiken hackers nepwebpagina's van de Google Play Store om een Android-malwarecampagne in Brazilië te verspreiden.

De schadelijke app lijkt een legitieme download, maar zodra deze is geïnstalleerd, verandert het geïnfecteerde telefoons in cryptominingmachines. Bovendien wordt het gebruikt om bankmalware te installeren en externe toegang te verlenen aan cybercriminelen.

Hackers veranderen Braziliaanse smartphones in cryptominingmachines

De campagne begint op een phishingwebsite die er bijna identiek uitziet als Google Play. Een van de pagina's biedt een nepapp aan genaamd INSS Reembolso, die beweert te zijn gekoppeld aan de sociale zekerheidsdienst van Brazilië. Het UX/UI-ontwerp kopieert een vertrouwde overheidsdienst en de lay-out van de Play Store om de download veilig te laten lijken.

Na het installeren van de nepapp pakt de malware verborgen code uit in meerdere fasen. Het gebruikt versleutelde componenten en laadt de belangrijkste kwaadaardige code rechtstreeks in het geheugen. Er zijn geen zichtbare bestanden op het apparaat, waardoor het moeilijk is voor gebruikers om verdachte activiteit te detecteren.

De malware ontwijkt ook analyse door beveiligingsonderzoekers. Het controleert of de telefoon in een geëmuleerde omgeving draait. Als het er een detecteert, stopt het met werken.

Na succesvolle installatie blijft de malware meer kwaadaardige bestanden downloaden. Het toont nog een nep-Google Play-scherm, vervolgens verschijnt een valse update-prompt en duwt de gebruiker om op de updateknop te tikken.

Een van die bestanden is een cryptominer, een versie van XMRig gecompileerd voor ARM-apparaten. De malware haalt de mining-payload op van door aanvallers gecontroleerde infrastructuur. Vervolgens ontcijfert het deze en voert het uit op de telefoon. De payload verbindt geïnfecteerde apparaten met miningservers die worden gecontroleerd door de aanvallers om crypto stilletjes op de achtergrond te minen.

De malware is geavanceerd en minet niet blindelings crypto. Volgens de analyse van SecureList monitort de malware het batterijlaadpercentage, de temperatuur, de installatieduur en of de telefoon actief wordt gebruikt. Mining start of stopt op basis van de gemonitorde gegevens. Het doel is verborgen te blijven en elke kans op detectie te verminderen.

Android doodt achtergrond-apps om batterij te besparen, maar de malware ontwijkt dit door een bijna stil audiobestand te herhalen. Het simuleert actief gebruik om de automatische deactivering van Android te vermijden.

Om commando's te blijven verzenden, gebruikt de malware Firebase Cloud Messaging, een legitieme Google-service. Dit maakt het voor aanvallers gemakkelijk om nieuwe instructies te verzenden en activiteit op het geïnfecteerde apparaat te beheren.

Banking Trojan richt zich op USDT-overdrachten

De malware doet meer dan alleen coins minen. Sommige versies installeren ook een banking Trojan die zich richt op Binance en Trust Wallet, vooral tijdens USDT-overdrachten. Het legt nepschermen over de echte apps, en vervangt vervolgens stilletjes het walletadres met een door de aanvaller gecontroleerd adres.

De bankmodule monitort ook browsers zoals Chrome en Brave en ondersteunt een breed scala aan externe commando's. Deze omvatten het opnemen van audio, het vastleggen van schermen, het verzenden van sms-berichten, het vergrendelen van het apparaat, het wissen van gegevens en het loggen van toetsaanslagen.

Andere recente samples behouden dezelfde nepapp-leveringsmethode maar schakelen over naar een andere payload. Ze installeren BTMOB RAT, een externe toegangstool die wordt verkocht op ondergrondse markten.

BTMOB maakt deel uit van een malware-as-a-Service (MaaS) ecosysteem. Aanvallers kunnen het kopen of huren, wat de drempel voor hacken en diefstal verlaagt. De tool geeft aanvallers diepere toegang, inclusief schermopname, cameratoegang, GPS-tracking en diefstal van inloggegevens.

BTMOB wordt actief online gepromoot. Een cybercrimineel deelde demo's van de malware op YouTube, waarop te zien is hoe geïnfecteerde apparaten kunnen worden bestuurd. Verkoop en ondersteuning worden afgehandeld via een Telegram-account.

SecureList verklaarde dat alle bekende slachtoffers in Brazilië zijn. Sommige nieuwere varianten verspreiden zich ook via WhatsApp en andere phishingpagina's.

Geavanceerde hackingcampagnes zoals deze zijn herinneringen om alles te verifiëren en niets te vertrouwen.

Lees niet alleen cryptonieuws. Begrijp het. Abonneer je op onze nieuwsbrief. Het is gratis.