ハッカーがブラジルでAndroidマルウェアキャンペーンを拡散するために偽のGoogle Play Storeページを使用しています。ハッカーがブラジルでAndroidマルウェアキャンペーンを拡散するために偽のGoogle Play Storeページを使用しています。

ハッカーがGoogle Playを模倣して暗号通貨マイニングマルウェアを拡散

著者：Cryptopolitan

出典：Cryptopolitan

2026/03/22 18:32

10 分で読めます

本コンテンツに関するご意見・ご感想は、crypto.news@mexc.comまでご連絡ください。

ハッカーが新しいフィッシング手法で被害者を標的にしています。SecureListの投稿によると、ハッカーは偽のGoogle Play Storeページを使用してブラジルでAndroidマルウェアキャンペーンを拡散しています。

この有害なアプリは正規のダウンロードに見えますが、インストールされると感染した端末を暗号資産マイニングマシーンに変換します。さらに、バンキングマルウェアをインストールし、脅威アクターにリモートアクセスを許可するために使用されます。

ハッカーがブラジルのスマートフォンを暗号資産マイニングマシーンに変える

このキャンペーンは、Google Playとほぼ同一に見えるフィッシングウェブサイトから始まります。ページの1つは、ブラジルの社会保障サービスにリンクしていると主張するINSS Reembolsoという偽アプリを提供しています。UX/UIデザインは信頼できる政府サービスとPlay Storeのレイアウトをコピーし、ダウンロードを安全に見せかけています。

偽アプリをインストールした後、マルウェアは複数の段階で隠されたコードを展開します。暗号化されたコンポーネントを使用し、主要な悪意のあるコードを直接メモリにロードします。デバイス上に表示されるファイルはなく、ユーザーが疑わしいアクティビティを検出することが困難になります。

このマルウェアは、セキュリティ研究者による分析も回避します。端末がエミュレート環境で動作しているかどうかをチェックし、検出した場合は動作を停止します。

インストールが成功した後、マルウェアはさらに悪意のあるファイルをダウンロードし続けます。別の偽のGoogle Playスタイルの画面を表示し、その後偽のアップデートプロンプトを表示してユーザーにアップデートボタンをタップするよう促します。

これらのファイルの1つは暗号資産マイナーで、ARMデバイス用にコンパイルされたXMRigのバージョンです。マルウェアは攻撃者が管理するインフラストラクチャからマイニングペイロードを取得し、それを復号化して端末上で実行します。ペイロードは感染したデバイスを攻撃者が管理するマイニングサーバーに接続し、バックグラウンドで静かに暗号資産をマイニングします。

このマルウェアは洗練されており、盲目的に暗号資産をマイニングすることはありません。SecureListの分析によると、マルウェアはバッテリー充電率、温度、インストール後の経過時間、端末が積極的に使用されているかどうかを監視します。監視されたデータに基づいてマイニングを開始または停止します。目的は隠れたままで、検出される可能性を減らすことです。

Androidはバッテリーを節約するためにバックグラウンドアプリを終了しますが、マルウェアはほぼ無音のオーディオファイルをループすることでこれを回避します。積極的な使用を偽装してAndroidの自動停止を回避します。

コマンドの送信を続けるため、マルウェアはFirebase Cloud Messagingを使用します。これは正規のGoogleサービスです。これにより、攻撃者は新しい指示を送信し、感染したデバイス上のアクティビティを管理することが容易になります。

バンキングトロイの木馬がUSDT転送を標的に

このマルウェアはコインのマイニング以上のことを行います。一部のバージョンは、バイナンスとTrust Walletを標的とするバンキングトロイの木馬もインストールします。特にUSDT転送中に標的とします。実際のアプリの上に偽の画面を重ね、その後静かにウォレットアドレスを攻撃者が管理するものに置き換えます。

バンキングモジュールは、ChromeやBraveなどのブラウザも監視し、幅広いリモートコマンドをサポートします。これには、オーディオの録音、画面のキャプチャ、SMSメッセージの送信、デバイスのロック、データの消去、キーストロークのログ記録が含まれます。

ハッカーがGoogle Play Storeページを偽装して暗号資産をマイニング。

バイナンス(左)とTrust Wallet(右)の偽オーバーレイページ。出典:SecureList。

他の最近のサンプルは、同じ偽アプリ配信方法を維持しながら、異なるペイロードに切り替えます。地下市場で販売されているリモートアクセスツールであるBTMOB RATをインストールします。

BTMOBはマルウェア・アズ・ア・サービス(MaaS)エコシステムの一部です。攻撃者はそれを購入またはレンタルすることができ、ハッキングや盗難のハードルを下げます。このツールは、画面録画、カメラアクセス、GPS追跡、認証情報の盗難など、攻撃者により深いアクセスを提供します。

BTMOBはオンラインで積極的に宣伝されています。脅威アクターはYouTubeでマルウェアのデモを共有し、感染したデバイスを制御する方法を示しています。販売とサポートはTelegramアカウントを通じて処理されます。

SecureListは、すべての既知の被害者がブラジルにいると述べています。一部の新しい亜種は、WhatsAppや他のフィッシングページを通じても拡散しています。

このような洗練されたハッキングキャンペーンは、すべてを検証し、何も信頼しないようにという注意喚起です。

暗号資産ニュースを読むだけでなく、理解してください。ニュースレターを購読してください。無料です。

免責事項：このサイトに転載されている記事は、公開プラットフォームから引用されており、情報提供のみを目的としています。MEXCの見解を必ずしも反映するものではありません。すべての権利は原著者に帰属します。コンテンツが第三者の権利を侵害していると思われる場合は、削除を依頼するために crypto.news@mexc.com までご連絡ください。MEXCは、コンテンツの正確性、完全性、適時性について一切保証せず、提供された情報に基づいて行われたいかなる行動についても責任を負いません。本コンテンツは、財務、法律、その他の専門的なアドバイスを構成するものではなく、MEXCによる推奨または支持と見なされるべきではありません。