Hacker ngụy tạo các trang trên Google Play Store để thực hiện các cuộc tấn công khai thác crypto và chiếm đoạt ví nhắm vào người dùng Brazil.

Theo Mars Finance, hacker đã phát động một chiến dịch tấn công phần mềm độc hại Android tại Brazil bằng cách sử dụng một trang web Phishing giả mạo Google Play Store. Tất cả các nạn nhân được biết đến hiện đều ở Brazil. Kẻ tấn công đã tạo ra một trang web Phishing rất giống với Google Play, lừa người dùng tải xuống một ứng dụng ngụy tạo có tên "INSS Reembolso". Sau khi được cài đặt, ứng dụng này sẽ giải phóng mã độc hại ẩn theo từng giai đoạn và tải trực tiếp vào bộ nhớ, không để lại bất kỳ tệp nào hiển thị trên thiết bị, khiến nó hoạt động rất lén lút. Một trong những chức năng cốt lõi của phần mềm độc hại là khai thác crypto , với chương trình khai thác XMRig tích hợp được biên dịch cho các thiết bị ARM có thể kết nối âm thầm với máy chủ khai thác do kẻ tấn công điều khiển trong nền. Chương trình này theo dõi mức pin, nhiệt độ và mức sử dụng thiết bị, tự động điều chỉnh hành vi khai thác để tránh bị phát hiện và bỏ qua cơ chế quản lý tiến trình nền của Android bằng cách phát lặp lại các tệp âm thanh im lặng. Một số biến thể cũng bao gồm một trojan ngân hàng, có thể phủ ngụy tạo lên giao diện chuyển USDT của Binance và Trust Wallet, âm thầm thay thế địa chỉ nhận. Ngoài ra, phần mềm độc hại hỗ trợ nhiều lệnh điều khiển từ xa, bao gồm ghi âm, chụp ảnh màn hình, ghi lại thao tác bàn phím và khóa thiết bị từ xa.