Hakkereiden käyttämä väärennetty Google Play louhii kryptovaluuttaa ja varastaa varoja
Brasiliassa on havaittu uusi Android-käyttäjiin kohdistuva haittakampanja. Hyökkääjät naamioivat phishing-sivut viralliseksi Google Play Store -kaupaksi ja levittävät sovelluksia, joita asennettuaan käytetään salaiseen kryptovaluutan louhintaan ja varojen varastamiseen.
Tämä artikkeli on käännetty alkuperäisestä tekstistä. Lue kirjeenvaihtajamme alkuperäinen versio täältä.
Cryptopolitanin mukaan hyökkäyksessä yhdistyvät sosiaalinen insinöörityö ja teknisesti hienostuneet menetelmät, minkä vuoksi sitä on vaikea havaita edes kokeneiden käyttäjien.
Miten hyökkäys toimii
Kuten SecureList toteaa, kampanja alkaa phishing-sivustolla, joka jäljittelee tarkasti Google Playn käyttöliittymää. Käyttäjiä kehotetaan lataamaan INSS Reembolso -niminen sovellus, jonka väitetään liittyvän Brasilian sosiaaliturvajärjestelmään.
Kun haittaohjelma on asennettu, se otetaan käyttöön vaiheittain: se lataa ensin salatut osat ja suorittaa sitten päähyötykuorman suoraan laitteen muistissa. Tämä lähestymistapa ei jätä näkyviä tiedostoja, joten toiminta pysyy piilossa käyttäjältä.
Haittaohjelma tarkistaa myös, onko se käynnissä emuloidussa ympäristössä, ja sulkeutuu, jos analyysi havaitaan. Kun laite katsotaan "turvalliseksi", se lataa lisämoduuleja, mukaan lukien ARM-laitteille mukautetun XMRig-pohjaisen louhijan. Tämä yhdistää älypuhelimen hyökkääjän hallitsemaan infrastruktuuriin ja louhii kryptovaluuttaa taustalla.
Pysyäkseen huomaamattomana ohjelma tarkkailee laitteen olosuhteita, kuten akun varaustasoa, lämpötilaa ja käyttäjän toimintaa, ja aktivoi louhinnan vain sopivissa olosuhteissa. Se myös ohittaa Androidin rajoitukset toistamalla lähes äänetöntä äänitiedostoa simuloidakseen sovelluksen toimintaa.
Varkaus ja etäkäyttö
Haittaohjelman ominaisuudet menevät kaivostoimintaa pidemmälle. Joissakin tapauksissa se asentaa pankkitroijalaisen, joka kohdistuu Binance- ja Trust Wallet -käyttäjiin erityisesti USDT-tapahtumien aikana.
Haittaohjelma peittää laillisten sovellusten päälle väärennettyjä käyttöliittymiä ja korvaa lompakko-osoitteita äänettömästi. Tämän seurauksena varoja ohjataan uudelleen käyttäjän huomaamatta.
Lisäksi tartunnan saaneita laitteita voidaan käyttää äänen tallentamiseen, kuvakaappauksiin, tekstiviestien lähettämiseen ja käyttäjän toiminnan kirjaamiseen. Ohjaus ja hallinta hoidetaan Firebase Cloud Messaging - laillisen Google-palvelun - kautta, mikä vaikeuttaa havaitsemista.
Joissakin muunnelmissa käytetään myös BTMOB:tä, etäkäyttötyökalua, jota levitetään haittaohjelmia palveluna. Se antaa hyökkääjille täyden hallinnan laitteeseen, mukaan lukien pääsyn kameraan, GPS:ään ja tunnistetietoihin.
Miksi sillä on merkitystä markkinoiden kannalta
Brasiliassa sattunut tapaus osoittaa, miten kryptoalan uhat kehittyvät. Aikaisemmin riskit liittyivät lähinnä protokollan hyväksikäyttöön, mutta nyt hyökkääjät kohdistavat hyökkäyksiä yhä useammin käyttäjiin tietojenkalastelulla, väärennetyillä käyttöliittymillä ja sosiaalisella manipuloinnilla.
Tällaiset järjestelmät ovat yleistymässä. MaaS-työkalut, kuten BTMOB, madaltavat pääsyn kynnystä, mikä nopeuttaa hyökkäysten leviämistä. Tämän seurauksena edes luotettavien alustojen käyttö ei takaa turvallisuutta.
Yrityksille tämä tarkoittaa investoimista infrastruktuurin turvallisuuden lisäksi myös käyttäjien vuorovaikutuksen suojaamiseen - varoituksista väärennettyjen verkkotunnusten valvontaan. Binance ja Google ovat jo laajentaneet tällaisia toimia, mutta hyökkääjät sopeutuvat edelleen nopeasti.
Käyttäjien kannalta on selvää, että lähteiden tarkistaminen ja kolmansien osapuolten linkkien välttäminen on ratkaisevan tärkeää. Phishingin lisääntyessä valppaus on ensisijainen puolustuslinja.
Samaan aikaan riskit laajenevat koko ekosysteemiin. Google havaitsi hiljattain iOS:n haavoittuvuuksia , jotka kohdistuvat kryptolompakoiden siemenlauseisiin. Googlen Threat Intelligence Groupin tutkijat paljastivat Coruna-nimisen työkalupaketin, joka on suunniteltu vaarantamaan iPhonet, joissa on iOS-versiot 13.0-17.2.1. Tämä vahvistaa, että hyökkäyksistä on tulossa alustarajat ylittäviä ja ne vaikuttavat käyttäjiin heidän käyttämästään järjestelmästä riippumatta.
Viimeisimmät Google uutiset
-
Afganistan
-
Alankomaat
-
Albania
-
Algeria
-
Angola
-
Argentiina
-
Armenia
-
Australia
-
Azerbaidžan
-
Bahama
-
Bahrain
-
Bangladesh
-
Belgia
-
Bolivia
-
Botswana
-
Brasilia
-
Brunei Darussalam
-
Bulgaria
-
Chile
-
Costa Rica
-
Dominikaaninen tasavalta
-
Ecuador
-
Egypti
-
El Salvador
-
Espanja
-
Eswatini
-
Etelä-Afrikka
-
Etiopia
-
Filippiinit
-
Georgia
-
Ghana
-
Haiti
-
Hongkong
-
Indonesia
-
Intia
-
Irak
-
Iran, islamilainen tasavalta
-
Irlanti
-
Israel
-
Italia
-
Itävalta
-
Jamaika
-
Japani
-
Jemen
-
Jordania
-
Kambodža
-
Kamerun
-
Kanada
-
Kazakstan
-
Kenia
-
Kiina
-
Kirgisia
-
Kolumbia
-
Kongo
-
Kongo (dem.)
-
Korea
-
Kreikka
-
Kroatia
-
Kuuba
-
Kuwait
-
Kypros
-
Laos
-
Latvia
-
Lesotho
-
Libanon
-
Libya
-
Liettua
-
Luxemburg
-
Madagaskar
-
Malesia
-
Malta
-
Marokko
-
Mauritius
-
Meksiko
-
Moldova
-
Mongolia
-
Montenegro
-
Mosambik
-
Myanmar
-
Namibia
-
Nepal
-
Nigeria
-
Norja
-
Norsunluurannikko
-
Oman
-
Pakistan
-
Palestiina
-
Panama
-
Papua-Uusi-Guinea
-
Paraguay
-
Peru
-
Pohjois-Makedonia
-
Portugali
-
Puerto Rico
-
Puola
-
Qatar
-
Ranska
-
Reunion
-
Romania
-
Ruanda
-
Ruotsi
-
Saksa
-
Sambia
-
Saudi-Arabia
-
Serbia
-
Singapore
-
Slovakia
-
Slovenia
-
Somalia
-
Sri Lanka
-
Suomi
-
Sveitsi
-
Syyria
-
Tadžikistan
-
Taiwan, Kiinan maakunta
-
Tansania
-
Tanska
-
Thaimaa
-
Trinidad ja Tobago
-
Tunisia
-
Turkki
-
Tšekki
-
USA
-
Uganda
-
Ukraina
-
Unkari
-
Uruguay
-
Uusi-Seelanti
-
Uzbekistan
-
Valko-Venäjä
-
Venezuela
-
Vietnam
-
Viro
-
Yhdistyneet arabiemiirikunnat
-
Yhdistynyt kuningaskunta
-
Zimbabwe
- Forex
- Crypto
