해커들이 구글 플레이 스토어 페이지를 위조하여 브라질 사용자들을 대상으로 암호화폐 채굴 및 지갑 탈취 공격을 감행했습니다.

마스 파이낸스(Mars Finance)에 따르면, 해커들이 구글 플레이 스토어를 모방한 피싱 페이지를 이용해 브라질에서 안드로이드 악성코드 공격을 시작했습니다. 현재까지 확인된 피해자는 모두 브라질에 거주하고 있습니다. 공격자들은 구글 플레이 스토어와 매우 유사한 피싱 웹사이트를 만들어 사용자들이 "INSS Reembolso"라는 가짜 앱을 다운로드하도록 유도했습니다. 이 앱이 설치되면 숨겨진 악성코드가 단계적으로 실행되고 메모리에 직접 로드되어 기기에 눈에 보이는 파일을 남기지 않기 때문에 매우 은밀하게 작동합니다. 이 악성코드의 핵심 기능 중 하나는 암호화폐 채굴 이며, ARM 기기용으로 컴파일된 XMRig 채굴 프로그램이 내장되어 있어 공격자가 백그라운드에서 제어하는 ​​채굴 서버에 조용히 연결할 수 있습니다. 이 프로그램은 배터리 잔량, 온도, 기기 사용량을 모니터링하여 채굴 방식을 동적으로 조정함으로써 탐지를 회피하고, 백그라운드에서 오디오 파일을 반복 재생하여 안드로이드의 백그라운드 프로세스 관리 메커니즘을 우회합니다. 일부 변종에는 뱅킹 트로이목마도 포함되어 있어 바이낸스와 트러스트 월렛의 USDT 이체 인터페이스에 가짜 페이지를 씌워 수신 주소를 몰래 변경할 수 있습니다. 또한, 해당 악성 소프트웨어는 녹화, 스크린샷 촬영, 키 입력 기록, 기기 원격 잠금 등 다양한 원격 제어 명령을 지원합니다.