Οι χάκερ χρησιμοποιούν ψεύτικο Google Play για να εξορύσσουν κρυπτονομίσματα και να κλέβουν χρήματα

Traders Union
Όλες οι ειδήσεις
Κρυπτονομίσματα
Οι χάκερ χρησιμοποιούν ψεύτικο Google Play

Όλες οι ειδήσεις

Κορυφαίες Ειδήσεις

Οι Επιλογές των Συντακτών

Κρυπτονομίσματα

Οικονομικά Νέα

Νομίσματα

Οι Φωνές της Αγοράς

Ρυθμιστικές αρχές

Κεντρικές τράπεζες

Sergey Shendetskyi

22.03.2026

Οι χάκερ χρησιμοποιούν ψεύτικο Google Play για να εξορύσσουν κρυπτονομίσματα και να κλέβουν χρήματα — Οι χρήστες Android στοχοποιούνται από ψεύτικες εφαρμογές

Μια νέα κακόβουλη καμπάνια που στοχεύει χρήστες Android εντοπίστηκε στη Βραζιλία. Οι επιτιθέμενοι μεταμφιέζουν σελίδες phishing ως το επίσημο Google Play Store και διανέμουν εφαρμογές που, μόλις εγκατασταθούν, χρησιμοποιούνται για κρυφή εξόρυξη κρυπτονομισμάτων και κλοπή κεφαλαίων.

Αυτό το άρθρο μεταφράστηκε από το πρωτότυπο. Διαβάστε την αρχική έκδοση από τον ανταποκριτή μας εδώ.

Σύμφωνα με το Cryptopolitan, η επίθεση συνδυάζει κοινωνική μηχανική με τεχνικά εξελιγμένες μεθόδους, καθιστώντας δύσκολο τον εντοπισμό της ακόμη και για έμπειρους χρήστες.

Πώς λειτουργεί η επίθεση

Όπως σημειώνει το SecureList, η εκστρατεία ξεκινά με έναν ιστότοπο phishing που μιμείται πιστά το περιβάλλον εργασίας του Google Play. Οι χρήστες καλούνται να κατεβάσουν μια εφαρμογή που ονομάζεται INSS Reembolso, η οποία φέρεται να συνδέεται με το σύστημα κοινωνικής ασφάλισης της Βραζιλίας.

Μόλις εγκατασταθεί, το κακόβουλο λογισμικό αναπτύσσεται σταδιακά: πρώτα κατεβάζει κρυπτογραφημένα συστατικά, και στη συνέχεια εκτελεί το κύριο ωφέλιμο φορτίο απευθείας στη μνήμη της συσκευής. Αυτή η προσέγγιση δεν αφήνει ορατά αρχεία, διατηρώντας τη δραστηριότητα κρυφή από τον χρήστη.

Το κακόβουλο λογισμικό ελέγχει επίσης αν εκτελείται σε εξομοιωμένο περιβάλλον και τερματίζει τη λειτουργία του αν εντοπιστεί ανάλυση. Μόλις η συσκευή θεωρηθεί "ασφαλής", φορτώνει πρόσθετες ενότητες, συμπεριλαμβανομένου ενός miner με βάση το XMRig, προσαρμοσμένου για συσκευές ARM. Αυτό συνδέει το smartphone με υποδομή που ελέγχεται από τον επιτιθέμενο και εξορύσσει κρυπτονόμισμα στο παρασκήνιο.

Για να παραμείνει απαρατήρητο, το πρόγραμμα παρακολουθεί τις συνθήκες της συσκευής, όπως η στάθμη της μπαταρίας, η θερμοκρασία και η δραστηριότητα του χρήστη, ενεργοποιώντας την εξόρυξη μόνο υπό κατάλληλες συνθήκες. Παρακάμπτει επίσης τους περιορισμούς του Android, αναπαράγοντας ένα σχεδόν αθόρυβο αρχείο ήχου για να προσομοιάσει τη δραστηριότητα της εφαρμογής.

Κλοπή και απομακρυσμένη πρόσβαση

Οι δυνατότητες του κακόβουλου λογισμικού υπερβαίνουν την εξόρυξη. Σε ορισμένες περιπτώσεις, εγκαθιστά ένα τραπεζικό trojan με στόχο τους χρήστες του Binance και του Trust Wallet, ιδίως κατά τη διάρκεια συναλλαγών USDT.

Το κακόβουλο λογισμικό επικαλύπτει ψεύτικες διεπαφές πάνω από νόμιμες εφαρμογές και αντικαθιστά σιωπηλά διευθύνσεις πορτοφολιών. Ως αποτέλεσμα, τα κεφάλαια ανακατευθύνονται χωρίς να το αντιληφθεί ο χρήστης.

Επιπλέον, οι μολυσμένες συσκευές μπορούν να χρησιμοποιηθούν για την καταγραφή ήχου, τη λήψη στιγμιότυπων οθόνης, την αποστολή μηνυμάτων SMS και την καταγραφή της δραστηριότητας του χρήστη. Η διοίκηση και ο έλεγχος διεκπεραιώνονται μέσω του Firebase Cloud Messaging - μιας νόμιμης υπηρεσίας της Google - καθιστώντας τον εντοπισμό πιο δύσκολο.

Ορισμένες παραλλαγές αναπτύσσουν επίσης το BTMOB, ένα εργαλείο απομακρυσμένης πρόσβασης που διανέμεται στο πλαίσιο ενός μοντέλου malware-as-a-service. Παρέχει στους επιτιθέμενους πλήρη έλεγχο της συσκευής, συμπεριλαμβανομένης της πρόσβασης στην κάμερα, το GPS και τα διαπιστευτήρια.

Γιατί έχει σημασία για την αγορά

Η υπόθεση στη Βραζιλία αναδεικνύει τον τρόπο με τον οποίο εξελίσσονται οι απειλές στον κλάδο της κρυπτογράφησης. Ενώ παλαιότερα οι κίνδυνοι συνδέονταν κυρίως με εκμεταλλεύσεις πρωτοκόλλου, οι επιτιθέμενοι στοχεύουν πλέον όλο και περισσότερο στους χρήστες μέσω phishing, ψεύτικων διεπαφών και κοινωνικής μηχανικής.

Τέτοια σχήματα γίνονται ευρέως διαδεδομένα. Τα εργαλεία MaaS όπως το BTMOB μειώνουν το εμπόδιο εισόδου, επιταχύνοντας την εξάπλωση των επιθέσεων. Ως αποτέλεσμα, ακόμη και η χρήση αξιόπιστων πλατφορμών δεν εγγυάται την ασφάλεια.

Για τις εταιρείες, αυτό σημαίνει ότι πρέπει να επενδύσουν όχι μόνο στην ασφάλεια των υποδομών αλλά και στην προστασία των αλληλεπιδράσεων των χρηστών - από τις προειδοποιήσεις έως την παρακολούθηση των ψεύτικων τομέων. Η Binance και η Google επεκτείνουν ήδη τέτοιες προσπάθειες, αλλά οι επιτιθέμενοι συνεχίζουν να προσαρμόζονται γρήγορα.

Για τους χρήστες, το συμπέρασμα είναι σαφές: η επαλήθευση των πηγών και η αποφυγή των συνδέσμων τρίτων είναι ζωτικής σημασίας. Καθώς το phishing αυξάνεται, η επαγρύπνηση γίνεται η πρωταρχική γραμμή άμυνας.

Ταυτόχρονα, οι κίνδυνοι επεκτείνονται σε όλα τα οικοσυστήματα. Η Google εντόπισε πρόσφατα ευπάθειες στο iOS που στοχεύουν σε φράσεις σπόρου κρυπτοπορτοφολιού. Οι ερευνητές της Google Threat Intelligence Group αποκάλυψαν μια εργαλειοθήκη με την ονομασία Coruna, η οποία έχει σχεδιαστεί για να θέτει σε κίνδυνο iPhones με εκδόσεις iOS από 13.0 έως 17.2.1. Αυτό επιβεβαιώνει ότι οι επιθέσεις γίνονται cross-platform και επηρεάζουν τους χρήστες ανεξάρτητα από το σύστημα που χρησιμοποιούν.

Αυτό το υλικό μπορεί να περιέχει απόψεις τρίτων, κανένα από τα δεδομένα και τις πληροφορίες σε αυτήν την ιστοσελίδα δεν αποτελεί επενδυτική συμβουλή σύμφωνα με την Αποποίηση Ευθυνών μας. Ενώ τηρούμε αυστηρή Συντακτική Ακεραιότητα, αυτή η ανάρτηση μπορεί να περιέχει αναφορές σε προϊόντα από τους συνεργάτες μας.

Σας άρεσε αυτό το άρθρο;