Hackere bruker falsk Google Play til å utvinne kryptovaluta og stjele penger

Traders Union
Alle nyheter
Kryptovaluta
Hackere bruker falske Google Play

Alle nyheter

Toppsaker

Redaktørens valg

Kryptovaluta

Finansnyheter

Valutaer

Markedsstemmer

Tilsynsmyndigheter

Sentralbanker

Sergey Shendetskyi

22.03.2026

Hackere bruker falsk Google Play til å utvinne kryptovaluta og stjele penger — Android-brukere utsatt for falske apper

En ny ondsinnet kampanje rettet mot Android-brukere har blitt oppdaget i Brasil. Angriperne forkler phishing-sider som den offisielle Google Play-butikken og distribuerer apper som, når de først er installert, brukes til skjult utvinning av kryptovaluta og tyveri av penger.

Denne artikkelen ble oversatt fra originalen. Les den opprinnelige versjonen av vår korrespondent her.

Ifølge Cryptopolitan kombinerer angrepet sosial manipulasjon med teknisk sofistikerte metoder, noe som gjør det vanskelig å oppdage selv for erfarne brukere.

Slik fungerer angrepet

Som SecureList bemerker, starter kampanjen med et phishing-nettsted som etterligner Google Play-grensesnittet. Brukerne blir bedt om å laste ned en app kalt INSS Reembolso, som angivelig er knyttet til Brasils trygdesystem.

Når den skadelige programvaren er installert, distribueres den trinnvis: Først lastes krypterte komponenter ned, og deretter kjøres den viktigste nyttelasten direkte i enhetens minne. Denne tilnærmingen etterlater ingen synlige filer, slik at aktiviteten holdes skjult for brukeren.

Skadevaren sjekker også om den kjører i et emulert miljø og slår seg av hvis det oppdages analyse. Når enheten anses som "trygg", laster den inn flere moduler, inkludert en XMRig-basert miner tilpasset ARM-enheter. Denne kobler smarttelefonen til angriperkontrollert infrastruktur og utvinner kryptovaluta i bakgrunnen.

For å forbli uoppdaget overvåker programmet enhetsforhold som batterinivå, temperatur og brukeraktivitet, og aktiverer utvinning bare under passende forhold. Det omgår også Android-restriksjoner ved å spille av en nesten uhørbar lydfil for å simulere appaktivitet.

Tyveri og ekstern tilgang

Skadeprogrammets evner går utover utvinning. I noen tilfeller installerer den en banktrojaner rettet mot Binance- og Trust Wallet-brukere, spesielt under USDT-transaksjoner.

Skadevaren legger falske grensesnitt på toppen av legitime apper og erstatter lommebokadresser i det stille. Som et resultat blir midler omdirigert uten at brukeren merker det.

I tillegg kan infiserte enheter brukes til å ta opp lyd, ta skjermbilder, sende SMS-meldinger og logge brukeraktivitet. Kommando og kontroll håndteres via Firebase Cloud Messaging - en legitim Google-tjeneste - noe som gjør det vanskeligere å oppdage.

Noen varianter distribuerer også BTMOB, et verktøy for ekstern tilgang som distribueres under en malware-as-a-service-modell. Det gir angriperne full kontroll over enheten, inkludert tilgang til kamera, GPS og legitimasjon.

Hvorfor det er viktig for markedet

Saken i Brasil viser hvordan truslene i kryptobransjen utvikler seg. Mens tidligere risikoer stort sett var knyttet til protokollutnyttelse, retter angriperne seg nå i økende grad mot brukere gjennom phishing, falske grensesnitt og sosial manipulering.

Slike metoder er i ferd med å bli utbredt. MaaS-verktøy som BTMOB senker terskelen for å komme inn på markedet, noe som akselererer spredningen av angrep. Selv om man bruker pålitelige plattformer, er det derfor ingen garanti for sikkerhet.

For selskaper betyr dette at de ikke bare må investere i infrastruktursikkerhet, men også i å beskytte brukerinteraksjoner - fra advarsler til overvåking av falske domener. Binance og Google har allerede utvidet denne innsatsen, men angriperne fortsetter å tilpasse seg raskt.

For brukerne er det viktig å verifisere kilder og unngå tredjepartslenker. Etter hvert som nettfisking øker, blir årvåkenhet det viktigste forsvaret.

Samtidig øker risikoen på tvers av økosystemene. Google identifiserte nylig iOS-sårbarheter rettet mot kryptolommebøker. Forskere fra Google Threat Intelligence Group avdekket et verktøysett kalt Coruna, som er designet for å kompromittere iPhones som kjører iOS-versjoner fra 13.0 til 17.2.1. Dette bekrefter at angrepene er i ferd med å bli plattformovergripende og påvirker brukere uavhengig av hvilket system de bruker.

Dette materialet kan inneholde tredjeparts meninger, ingen av dataene og informasjonen på denne nettsiden utgjør investeringsråd i henhold til vår Ansvarsfraskrivelse. Selv om vi følger strenge Redaksjonelle Retningslinjer, kan dette innlegget inneholde referanser til produkter fra våre partnere.

Likte du artikkelen?