Hackers falsificaron páginas de Google Play Store para realizar ataques de minería de criptomonedas y secuestro de carteras dirigidos a usuarios brasileños

Los hackers han lanzado ataques de malware Android en Brasil al falsificar una página de phishing que imita a Google Play Store. Actualmente, todas las víctimas conocidas se encuentran en Brasil.

Los atacantes establecieron un sitio web de phishing que se parece mucho a Google Play, lo que atrae a los usuarios a descargar una aplicación falsa llamada "INSS Reembolso". Una vez instalada, la aplicación libera código malicioso oculto por etapas y lo carga directamente en la memoria, sin dejar archivos visibles en el dispositivo, lo que lo hace altamente sigiloso. Una de las funciones principales del malware es la minería de criptomonedas, con un programa de minería XMRig incrustado compilado para dispositivos ARM que se conecta silenciosamente al servidor de minería controlada del atacante en segundo plano. El programa monitorea el nivel de batería, la temperatura y el estado de uso del dispositivo, ajustando dinámicamente el comportamiento de minería para evitar la detección, y evita el mecanismo de gestión de procesos en segundo plano de Android mediante el bucle de archivos de audio silenciosos.

Algunas variantes también incluyen troyanos bancarios que pueden superponer páginas falsas en la interfaz de transferencia USDT de Binance and Trust Wallet, reemplazando silenciosamente la dirección del destinatario. Además, el malware soporta varios comandos de control remoto como grabación, captura de pantalla, registro de teclas y bloqueo remoto del dispositivo.