Los hackers imitan Google Play para difundir malware de minería de criptomonedas

Los hackers están atacando a víctimas a través de un nuevo esquema de phishing. Según una publicación de SecureList, los hackers están utilizando páginas falsas de Google Play Store para difundir una campaña de malware de Android en Brasil.

La aplicación dañina parece ser una descarga legítima, pero una vez instalada, convierte los teléfonos infectados en máquinas de minar cripto. Además, se utiliza para instalar malware bancario y otorgar acceso remoto a actores de amenazas.

Los hackers convierten teléfonos inteligentes brasileños en máquinas de minar cripto

La campaña comienza en un sitio web de phishing que se ve casi idéntico a Google Play. Una de las páginas ofrece una aplicación falsa llamada INSS Reembolso, que afirma estar vinculada al servicio de seguridad social de Brasil. El diseño UX/UI copia un servicio gubernamental confiable y el diseño de Play Store para hacer que la descarga parezca segura.

Después de instalar la aplicación falsa, el malware desempaqueta código oculto en múltiples etapas. Utiliza componentes encriptados y carga el código malicioso principal directamente en la memoria. No hay archivos visibles en el dispositivo, lo que dificulta que los usuarios detecten cualquier actividad sospechosa.

El malware también evade el análisis de investigadores de seguridad. Verifica si el teléfono se está ejecutando en un entorno emulado. Si detecta uno, deja de funcionar.

Después de una instalación exitosa, el malware continúa descargando más archivos maliciosos. Muestra otra pantalla falsa estilo Google Play, luego muestra una solicitud de actualización falsa y empuja al usuario a tocar el botón de actualización.

Uno de esos archivos es un minero de cripto, que es una versión de XMRig compilada para dispositivos ARM. El malware obtiene la carga de minería de infraestructura controlada por atacantes. Luego la descifra y la ejecuta en el teléfono. La carga conecta dispositivos infectados a servidores de minería controlados por los atacantes para minar cripto silenciosamente en segundo plano.

El malware es sofisticado y no mina cripto a ciegas. Según el análisis de SecureList, el malware monitorea el porcentaje de carga de la batería, la temperatura, la antigüedad de instalación y si el teléfono está siendo utilizado activamente. La minería comienza o se detiene según los datos monitoreados. El objetivo es permanecer oculto y reducir cualquier posibilidad de detección.

Android cierra las aplicaciones en segundo plano para ahorrar batería, pero el malware evade esto reproduciendo en bucle un archivo de audio casi silencioso. Simula uso activo para evitar la desactivación automática de Android.

Para continuar enviando comandos, el malware utiliza Firebase Cloud Messaging, que es un servicio legítimo de Google. Esto facilita que los atacantes envíen nuevas instrucciones y gestionen la actividad en el dispositivo infectado.

Troyano bancario apunta a transferencias de USDT

El malware hace más que minar monedas. Algunas versiones también instalan un troyano bancario que apunta a Binance y Trust Wallet, especialmente durante transferencias de USDT. Superpone pantallas falsas sobre las aplicaciones reales, luego reemplaza silenciosamente la dirección de la billetera con una controlada por el atacante.

El módulo bancario también monitorea navegadores como Chrome y Brave y admite una amplia gama de comandos remotos. Estos incluyen grabación de audio, captura de pantallas, envío de mensajes de Verificación SMS, bloqueo del dispositivo, borrado de datos y registro de pulsaciones de teclas.

Otras muestras recientes mantienen el mismo método de entrega de aplicaciones falsas pero cambian a una carga diferente. Instalan BTMOB RAT, una herramienta de acceso remoto vendida en mercados clandestinos.

BTMOB es parte de un ecosistema de malware como servicio (MaaS). Los atacantes pueden comprarlo o alquilarlo, lo que reduce la barrera para el hacking y el robo. La herramienta otorga a los atacantes un acceso más profundo, incluyendo grabación de pantalla, acceso a la cámara, seguimiento GPS y robo de credenciales.

BTMOB se promociona activamente en línea. Un actor de amenazas compartió demos del malware en YouTube, mostrando cómo controlar dispositivos infectados. Las ventas y el soporte se gestionan a través de una cuenta de Telegram.

SecureList declaró que todas las víctimas conocidas están en Brasil. Algunas variantes más nuevas también se están propagando a través de WhatsApp y otras páginas de phishing.

Campañas de hacking sofisticadas como esta son recordatorios de verificar todo y no confiar en nada.

No solo leas noticias de cripto. Entiéndelas. Suscríbete a nuestro boletín. Es gratis.