Хакеры используют поддельный Google Play для майнинга криптовалюты и кражи средств
В Бразилии зафиксирована новая вредоносная кампания, нацеленная на пользователей Android. Злоумышленники маскируют фишинговые страницы под официальный Google Play и распространяют через них приложения, которые после установки применяются для скрытого майнинга криптовалюты и кражи средств.
По данным Cryptopolitan, атака сочетает социальную инженерию и технически сложные методы, что делает ее трудно распознаваемой даже для опытных пользователей.
Как работает атака
Как отмечает SecureList, все начинается с поддельного сайта, практически полностью копирующего интерфейс Google Play. На нем предлагается загрузить приложение INSS Reembolso, якобы связанное с системой социального обеспечения Бразилии.
После установки вредоносная программа разворачивается поэтапно: сначала загружаются зашифрованные компоненты, затем основной код запускается напрямую в памяти устройства. За счет этого пользователь не видит подозрительных файлов, а сама активность остается скрытой.
Дополнительно вредоносное ПО проверяет среду запуска и отключается, если обнаруживает признаки анализа. Когда устройство признано «безопасным» для атаки, загружаются новые модули, включая майнер на базе XMRig, адаптированный под ARM-устройства. Он подключает смартфон к инфраструктуре злоумышленников и запускает добычу криптовалюты в фоновом режиме.
Чтобы не привлекать внимания, программа отслеживает состояние устройства — заряд батареи, температуру и активность пользователя. Майнинг включается только при подходящих условиях. Также программа обходит ограничения Android, воспроизводя практически неслышный аудиофайл, имитируя активность приложения.
Кража средств и удаленный доступ
Функции программы не ограничиваются майнингом. В ряде случаев устанавливается банковский троян, ориентированный на пользователей Binance и Trust Wallet, особенно в момент перевода USDT.
Вредоносное ПО подменяет интерфейсы приложений и незаметно меняет адреса кошельков. В результате средства отправляются злоумышленникам, при этом пользователь видит привычный интерфейс.
Дополнительно зараженное устройство может использоваться для записи звука, создания скриншотов, отправки SMS и отслеживания действий пользователя. Управление осуществляется через Firebase Cloud Messaging — легитимный сервис Google, что затрудняет обнаружение.
В некоторых вариантах применяется инструмент удаленного доступа BTMOB, распространяемый по модели malware-as-a-service. Он дает злоумышленникам полный контроль над устройством — от камеры до GPS и учетных данных.
Почему это важно для рынка
Случай в Бразилии показывает, как меняется характер угроз в криптоиндустрии. Если раньше основной риск был связан со взломами протоколов, сейчас все чаще атакуют самих пользователей — через поддельные сайты, приложения и интерфейсы.
Такие схемы становятся массовыми. MaaS-инструменты вроде BTMOB упрощают их запуск, а значит, подобных атак будет только больше. В результате даже использование известных сервисов не гарантирует безопасности.
Для компаний это означает необходимость усиливать защиту не только инфраструктуры, но и пользовательского взаимодействия — от предупреждений до мониторинга фейковых ресурсов. Binance и Google уже инвестируют в такие решения, но злоумышленники быстро адаптируются.
Для пользователей вывод простой: критически важно проверять источники загрузки и избегать переходов по сторонним ссылкам. В условиях роста фишинга именно внимательность становится главным уровнем защиты.
Параллельно растут риски и в других экосистемах. Ранее Google выявил уязвимости в iOS, позволяющие атаковать сид-фразы криптокошельков. Исследователи Google Threat Intelligence Group обнаружили инструментарий Coruna, рассчитанный на устройства Apple с версиями iOS от 13.0 до 17.2.1. Это подтверждает, что атаки становятся кроссплатформенными и затрагивают пользователей вне зависимости от выбранной системы.
-
Австралия
-
Австрия
-
Азербайджан
-
Албания
-
Алжир
-
Ангола
-
Аргентина
-
Армения
-
Афганистан
-
Багамы
-
Бангладеш
-
Бахрейн
-
Беларусь
-
Бельгия
-
Бирма
-
Болгария
-
Боливия
-
Ботсвана
-
Бразилия
-
Бруней
-
Великобритания
-
Венгрия
-
Венесуэла
-
Вьетнам
-
Гаити
-
Гана
-
Германия
-
Гонконг
-
Греция
-
Грузия
-
Дания
-
Доминиканская Республика
-
Египет
-
Замбия
-
Зимбабве
-
Израиль
-
Индия
-
Индонезия
-
Иордания
-
Ирак
-
Иран
-
Ирландия
-
Испания
-
Италия
-
Йемен
-
Казахстан
-
Камбоджа
-
Камерун
-
Канада
-
Катар
-
Кения
-
Кипр
-
Киргизия
-
Китай
-
Колумбия
-
Конго
-
Конго, Дем. Респ.
-
Корея
-
Коста-Рика
-
Кот-д’Ивуар
-
Куба
-
Кувейт
-
Лаос
-
Латвия
-
Лесото
-
Ливан
-
Ливия
-
Литва
-
Люксембург
-
Маврикий
-
Мадагаскар
-
Македония
-
Малайзия
-
Мальта
-
Марокко
-
Мексика
-
Мозамбик
-
Молдова
-
Монголия
-
Намибия
-
Непал
-
Нигерия
-
Нидерланды
-
Новая Зеландия
-
Норвегия
-
ОАЭ
-
Оман
-
Пакистан
-
Палестина
-
Панама
-
Папуа-Новая Гвинея
-
Парагвай
-
Перу
-
Польша
-
Португалия
-
Пуэрто-Рико
-
Реюньон
-
Руанда
-
Румыния
-
Сальвадор
-
Саудовская Аравия
-
Сербия
-
Сингапур
-
Сирийская Арабская Республика
-
Словакия
-
Словения
-
Соединенные Штаты
-
Сомали
-
Таджикистан
-
Таиланд
-
Тайвань
-
Танзания
-
Тринидад и Тобаго
-
Тунис
-
Турция
-
Уганда
-
Узбекистан
-
Украина
-
Уругвай
-
Филиппины
-
Финляндия
-
Франция
-
Хорватия
-
Черногория
-
Чешская Республика
-
Чили
-
Швейцария
-
Швеция
-
Шри-Ланка
-
Эквадор
-
Эсватини
-
Эстония
-
Эфиопия
-
Южная Африка
-
Ямайка
-
Япония
- Forex
- Crypto
