Хакери використовують підроблений Google Play для майнінгу криптовалюти та крадіжки коштів
У Бразилії зафіксовано нову шкідливу кампанію, спрямовану на користувачів Android. Зловмисники маскують фішингові сторінки під офіційний Google Play і поширюють через них застосунки, які після встановлення використовуються для прихованого майнінгу криптовалюти та крадіжки коштів.
За даними Cryptopolitan, атака поєднує соціальну інженерію та технічно складні методи, що робить її важкою для виявлення навіть досвідченими користувачами.
Як працює атака
Як зазначає SecureList, кампанія починається з фішингового сайту, який майже повністю копіює інтерфейс Google Play. Користувачам пропонують встановити застосунок INSS Reembolso, нібито пов’язаний із системою соціального забезпечення Бразилії.
Після встановлення шкідливе ПЗ розгортається поетапно: спочатку завантажуються зашифровані компоненти, після чого основний код запускається безпосередньо в пам’яті пристрою. Це дозволяє приховати активність — жодних підозрілих файлів користувач не бачить.
Програма також перевіряє середовище запуску і зупиняється, якщо виявляє ознаки аналізу. Якщо пристрій вважається «безпечним», завантажуються додаткові модулі, включно з майнером на базі XMRig для ARM-пристроїв. Він підключає смартфон до інфраструктури зловмисників і запускає майнінг у фоновому режимі.
Щоб уникнути виявлення, програма відстежує стан пристрою — рівень заряду, температуру та активність користувача — і запускає майнінг лише за відповідних умов. Також вона обходить обмеження Android, відтворюючи майже нечутний аудіофайл, імітуючи активність застосунку.
Крадіжка коштів і віддалений доступ
Функціональність шкідливого ПЗ не обмежується майнінгом. У деяких випадках встановлюється банківський троян, націлений на користувачів Binance і Trust Wallet, особливо під час переказів USDT.
Шкідливе ПЗ накладає підроблені інтерфейси поверх реальних застосунків і непомітно змінює адреси гаманців. У результаті кошти перенаправляються зловмисникам без відома користувача.
Крім того, заражений пристрій може записувати звук, робити скріншоти, надсилати SMS і відстежувати дії користувача. Управління здійснюється через Firebase Cloud Messaging — легітимний сервіс Google, що ускладнює виявлення.
У деяких варіантах використовується інструмент віддаленого доступу BTMOB, який поширюється за моделлю malware-as-a-service. Він надає зловмисникам повний контроль над пристроєм — від камери до GPS і облікових даних.
Чому це важливо для ринку
Випадок у Бразилії демонструє, як змінюється характер загроз у криптоіндустрії. Якщо раніше основні ризики були пов’язані зі зломами протоколів, то зараз дедалі частіше атакують самих користувачів — через фішинг, підроблені інтерфейси та соціальну інженерію.
Такі схеми стають масовими. Інструменти MaaS на кшталт BTMOB знижують поріг входу для зловмисників і прискорюють поширення атак. У результаті навіть використання перевірених сервісів не гарантує безпеки.
Для компаній це означає необхідність посилювати захист не лише інфраструктури, а й користувацького досвіду — від попереджень до моніторингу фейкових доменів. Binance і Google вже інвестують у такі рішення, але зловмисники швидко адаптуються.
Для користувачів висновок очевидний: важливо перевіряти джерела завантаження та уникати сторонніх посилань. В умовах зростання фішингу саме уважність стає ключовим фактором захисту.
Паралельно ризики зростають і в інших екосистемах. Раніше Google виявила вразливості в iOS, націлені на сид-фрази криптогаманців. Дослідники Google Threat Intelligence Group виявили інструментарій Coruna, який атакує iPhone з версіями iOS від 13.0 до 17.2.1. Це підтверджує, що атаки стають кросплатформеними і зачіпають користувачів незалежно від системи.
-
Єгипет
-
Ємен
-
Ізраїль
-
Індонезія
-
Індія
-
Ірак
-
Іран, Ісламська республіка
-
Ірландія
-
Іспанія
-
Італія
-
Австралія
-
Австрія
-
Азербайджан
-
Албанія
-
Алжир
-
Ангола
-
Аргентина
-
Афганістан
-
Багамські острови
-
Бангладеш
-
Бахрейн
-
Бельгія
-
Болгарія
-
Болівія
-
Ботсвана
-
Бразилія
-
Бруней-Даруссалам
-
Білорусь
-
В'єтнам
-
Венесуела
-
Возз'єднання
-
Вірменія
-
Гана
-
Гаїті
-
Гонконг
-
Греція
-
Грузія
-
ДР Конго
-
Данія
-
Домініканська Республіка
-
Еквадор
-
Есватіні
-
Естонія
-
Ефіопія
-
Замбія
-
Зімбабве
-
Йорданія
-
Казахстан
-
Камбоджа
-
Камерун
-
Канада
-
Катар
-
Кенія
-
Киргизстан
-
Китай
-
Колумбія
-
Конго
-
Корея
-
Коста-Ріка
-
Кот-д'Івуар
-
Куба
-
Кувейт
-
Кіпр
-
Лаос
-
Латвія
-
Лесото
-
Литва
-
Люксембург
-
Ліван
-
Лівія
-
Маврикій
-
Мадагаскар
-
Малайзія
-
Мальта
-
Марокко
-
Мексика
-
Мозамбік
-
Молдова
-
Монголія
-
М’янма
-
Намібія
-
Непал
-
Нова Зеландія
-
Норвегія
-
Нігерія
-
Нідерланди
-
Німеччина
-
ОАЕ
-
Оман
-
Пакистан
-
Палестина
-
Панама
-
Папуа-Нова Гвінея
-
Парагвай
-
Перу
-
Польща
-
Португалія
-
Пуерто-Ріко
-
Південна Африка
-
Північна Македонія
-
Руанда
-
Румунія
-
США
-
Сальвадор
-
Саудівська Аравія
-
Сербія
-
Сирія
-
Словаччина
-
Словенія
-
Сомалі
-
Сполучене Королівство
-
Сінгапур
-
Таджикистан
-
Тайвань, провінція Китаю
-
Танзанія'єднана Республіка
-
Таїланд
-
Тринідад і Тобаго
-
Туніс
-
Туреччина
-
Уганда
-
Угорщина
-
Узбекистан
-
Україна
-
Уругвай
-
Франція
-
Філіппіни
-
Фінляндія
-
Хорватія
-
Чехія
-
Чилі
-
Чорногорія
-
Швейцарія
-
Швеція
-
Шрі-Ланка
-
Ямайка
-
Японія
- Forex
- Crypto
