Les pirates imitent Google Play pour diffuser des malwares de mining de cryptomonnaie

Des hackers ciblent des victimes via un nouveau système d'hameçonnage. Selon un post de SecureList, des hackers utilisent de fausses pages Google Play Store pour diffuser une campagne de malware Android au Brésil.

L'application malveillante semble être un téléchargement légitime, mais une fois installée, elle convertit les téléphones infectés en machines de cloud mining. De plus, elle est utilisée pour installer des malwares bancaires et accorder un accès à distance aux acteurs malveillants.

Les hackers transforment les smartphones brésiliens en machines de cloud mining

La campagne commence sur un site web d'hameçonnage qui ressemble presque identiquement à Google Play. L'une des pages propose une fausse application appelée INSS Reembolso, qui prétend être liée au service de sécurité sociale du Brésil. Le design UX/UI copie un service gouvernemental de confiance et la mise en page du Play Store pour que le téléchargement paraisse sûr.

Après l'installation de la fausse application, le malware décompresse du code caché en plusieurs étapes. Il utilise des composants cryptés et charge le code malveillant principal directement dans la mémoire. Il n'y a pas de fichiers visibles sur l'appareil, ce qui rend difficile pour les utilisateurs de détecter toute activité suspecte.

Le malware échappe également à l'analyse des chercheurs en sécurité. Il vérifie si le téléphone fonctionne dans un environnement émulé. S'il en détecte un, il cesse de fonctionner.

Après une installation réussie, le malware continue de télécharger davantage de fichiers malveillants. Il affiche un autre écran de type Google Play, puis affiche une fausse invite de mise à jour obligatoire et pousse l'utilisateur à appuyer sur le bouton de mise à jour.

L'un de ces fichiers est un crypto miner, qui est une version de XMRig compilée pour les appareils ARM. Le malware récupère la charge utile de minage depuis une infrastructure contrôlée par les attaquants. Ensuite, il la décrypte et l'exécute sur le téléphone. La charge utile connecte les appareils infectés aux serveurs de minage contrôlés par les attaquants pour miner des cryptos silencieusement en arrière-plan.

Le malware est sophistiqué et ne mine pas les cryptos aveuglément. Selon l'analyse de SecureList, le malware surveille le pourcentage de charge de la batterie, la température, l'âge de l'installation et si le téléphone est activement utilisé. Le minage démarre ou s'arrête en fonction des données surveillées. L'objectif est de rester caché et de réduire toute chance de détection.

Android tue les applications en arrière-plan pour économiser la batterie, mais le malware contourne cela en bouclant un fichier audio presque silencieux. Il simule une utilisation active pour éviter la désactivation automatique d'Android.

Pour continuer à envoyer des commandes, le malware utilise Firebase Cloud Messaging, qui est un service Google légitime. Cela facilite l'envoi de nouvelles instructions et la gestion de l'activité sur l'appareil inconnu infecté par les attaquants.

Un cheval de Troie bancaire cible les transferts USDT

Le malware fait plus que miner des pièces. Certaines versions installent également un cheval de Troie bancaire qui cible Binance et Trust Wallet, en particulier lors des transferts USDT. Il superpose de faux écrans sur les vraies applications, puis remplace discrètement l'adresse du portefeuille par une adresse contrôlée par l'attaquant.

Le module bancaire surveille également les navigateurs comme Chrome et Brave et prend en charge une large gamme de commandes à distance. Celles-ci incluent l'enregistrement audio, la capture d'écrans, l'envoi de messages par vérification par SMS, le verrouillage de l'appareil, l'effacement des données et l'enregistrement des frappes au clavier.

D'autres échantillons récents conservent la même méthode de livraison de fausse application mais changent pour une charge utile différente. Ils installent BTMOB RAT, un outil d'accès à distance vendu sur les marchés clandestins.

BTMOB fait partie d'un écosystème de malware-as-a-Service (MaaS). Les attaquants peuvent l'acheter ou le louer, ce qui abaisse la barrière au piratage et au vol. L'outil donne aux attaquants un accès plus profond, incluant l'enregistrement d'écran, l'accès à la caméra, le suivi GPS et le vol d'identifiants.

BTMOB est activement promu en ligne. Un acteur malveillant a partagé des démonstrations du malware sur YouTube, montrant comment contrôler les appareils infectés. Les ventes et le support sont gérés via un compte Telegram.

SecureList a déclaré que toutes les victimes connues se trouvent au Brésil. Certaines variantes plus récentes se propagent également via WhatsApp et d'autres pages d'hameçonnage.

Des campagnes de piratage sophistiquées comme celle-ci rappellent qu'il faut tout vérifier et ne rien faire confiance.

Ne vous contentez pas de lire les actualités crypto. Comprenez-les. Abonnez-vous à notre newsletter. C'est gratuit.