Brazylijscy hakerzy wykorzystują fałszywy Google Play Store do kopania kryptowalut i kradzieży USDT

Hakerzy w Brazylii prowadzą fałszywą stronę Google Play Store zaprojektowaną w celu oszukania użytkowników Androida i skłonienia ich do pobrania złośliwego oprogramowania, które przejmuje ich telefony do kopania kryptowalut i kradnie USDT z ich portfeli.

Kampania atakuje szybko rosnącą bazę użytkowników kryptowalut w Brazylii za pomocą oszukańczej witryny, która wizualnie replikuje legalny Google Play Store. Ofiary są kierowane na fałszywą stronę za pomocą taktyk socjotechnicznych, w tym złośliwych reklam i linków phishingowych rozpowszechnianych przez SMS i media społecznościowe.

Po wejściu na sfałszowaną stronę użytkownicy są proszeni o pobranie tego, co wydaje się być legalnymi aplikacjami na Androida. Pobrane pliki to w rzeczywistości złośliwe pliki APK zawierające złośliwe oprogramowanie o podwójnym przeznaczeniu.

Jak fałszywy Google Play Store wabi brazylijskich użytkowników Androida

Fałszywa witryna sklepowa ściśle naśladuje oficjalny sklep z aplikacjami Google, kopiując jego układ, branding i format list aplikacji. Poziom szczegółowości utrudnia zwykłym użytkownikom odróżnienie oszukańczej strony od prawdziwej.

Atakujący używają wielu mechanizmów dostarczania, aby kierować ofiary na fałszywy adres URL. Obejmują one płatne kampanie złośliwych reklam na platformach społecznościowych, wiadomości phishingowe wysyłane przez SMS oraz linki udostępniane w grupach Telegram i WhatsApp skupionych na kryptowalutach, popularnych w Brazylii.

Złośliwe APK są zamaskowane jako popularne aplikacje narzędziowe lub, w niektórych przypadkach, jako aplikacje do portfeli kryptowalut i handlu. Ponieważ pliki są instalowane z boku, a nie za pośrednictwem oficjalnego Play Store, całkowicie omijają skanowanie zabezpieczeń Google Play Protect.

To kluczowe rozróżnienie: Play Protect obejmuje tylko aplikacje dystrybuowane przez oficjalny kanał Google, pozostawiając aplikacje APK załadowane z boku niesprawdzone.

Brazylia stała się głównym celem tych kampanii. Kraj posiada jedną z największych baz użytkowników kryptowalut w Ameryce Łacińskiej, z milionami detalicznych posiadaczy zarządzających aktywami cyfrowymi na urządzeniach mobilnych.

To połączenie wysokiego poziomu adopcji i powszechnego użytkowania Androida tworzy idealne warunki dla atakujących. Podobne kampanie z fałszywymi sklepami aplikacji wcześniej atakowały użytkowników kryptowalut w Azji Południowo-Wschodniej i Europie Wschodniej.

Złośliwe oprogramowanie przejmuje telefony do kopania kryptowalut i opróżnia portfele USDT

Po zainstalowaniu złośliwe oprogramowanie wykonuje atak z podwójnym ładunkiem. Pierwszy komponent to cryptojacker, który w sposób dyskretny przejmuje CPU urządzenia, aby kopać kryptowaluty w tle bez wiedzy lub zgody użytkownika.

Ofiary zazwyczaj zauważają działalność związaną z kopaniem tylko poprzez wtórne objawy: szybkie rozładowywanie się baterii, przegrzewanie i znaczną degradację wydajności. Te znaki są często mylone z ogólnym starzeniem się telefonu lub błędami oprogramowania, co pozwala złośliwemu oprogramowaniu działać niewykrycie przez dłuższy czas.

Drugi, bardziej szkodliwy komponent atakuje bezpośrednio zasoby USDT. Złośliwe oprogramowanie wykorzystuje przechwytywanie schowka do przechwytywania transakcji kryptowalutowych. Gdy użytkownik kopiuje adres portfela USDT, aby wysłać środki, złośliwe oprogramowanie dyskretnie zastępuje go adresem kontrolowanym przez atakującego.

Chyba że nadawca ręcznie zweryfikuje każdy znak wklejonego adresu przed potwierdzeniem, środki trafiają bezpośrednio do hakerów. Ten typ ataku phishingowego opartego na trojanie staje się coraz bardziej powszechny na platformach mobilnych.

USDT jest najczęściej posiadanym stablecoinem wśród użytkowników detalicznych na całym świecie, co czyni go szczególnie lukratywnym celem. W przeciwieństwie do zmiennych kryptowalut, skradziony USDT utrzymuje swoją wartość powiązaną z dolarem, zapewniając atakującym natychmiastową, stabilną płynność, którą łatwo jest skonwertować lub wyprać.

Projekt podwójnego przeznaczenia maksymalizuje zwroty dla atakujących. Kopanie generuje pasywny strumień dochodów z każdego zainfekowanego urządzenia, podczas gdy przechwytywacz schowka czeka na możliwości transakcji o wysokiej wartości. Nawet jeden przechwycony transfer USDT może przynieść tysiące dolarów, co sprawia, że operacja jest szczególnie szkodliwa dla użytkowników, którzy posiadają znaczne salda stablecoinów na urządzeniach mobilnych.

Ten rodzaj ukierunkowanej kradzieży jest częścią szerszego wzorca strat na dużą skalę dotykających posiadaczy kryptowalut poprzez różne wektory ataków.

Co użytkownicy Androida powinni zrobić, aby chronić swoje kryptowaluty

Użytkownicy Androida są bardziej narażeni na tego typu ataki niż użytkownicy iOS. Android domyślnie pozwala na instalację aplikacji z źródeł spoza oficjalnego sklepu, podczas gdy iOS ogranicza instalacje do App Store, chyba że urządzenie jest jailbroken.

Najskuteczniejsza obrona jest prosta: pobieraj aplikacje wyłącznie bezpośrednio z oficjalnego Google Play Store, przechodząc ręcznie na play.google.com lub używając preinstalowanej aplikacji Play Store. Nigdy nie instaluj aplikacji z linków otrzymanych przez SMS, e-mail, media społecznościowe lub aplikacje do przesyłania wiadomości.

Użytkownicy powinni sprawdzić, czy Google Play Protect jest włączony na ich urządzeniach, otwierając Play Store, dotykając ikony profilu i wybierając „Play Protect". Zapewnia to podstawowe skanowanie w poszukiwaniu znanego złośliwego oprogramowania, choć nie może chronić przed zagrożeniami, które są instalowane z boku z zewnętrznych źródeł.

Dla każdego, kto posiada znaczne ilości USDT lub innych aktywów kryptowalutowych, przechowywanie środków na urządzeniu mobilnym stanowi nieodłączne ryzyko. Badacze bezpieczeństwa zalecają używanie portfela sprzętowego do długoterminowego przechowywania i traktowanie portfeli mobilnych jako noszących tylko to, na czego utratę możesz sobie pozwolić.

Dedykowane urządzenie do transakcji kryptowalutowych, oddzielone od codziennego przeglądania i używania aplikacji, dodaje kolejną warstwę ochrony. Ponieważ gracze instytucjonalni nadal intensywnie inwestują w aktywa cyfrowe, rosnąca wartość przepływająca przez ekosystem kryptowalut tylko zwiększa zachęty dla atakujących.

Podczas wysyłania kryptowalut z dowolnego urządzenia zawsze dwukrotnie sprawdzaj pełny adres docelowy po wklejeniu, nie tylko pierwsze i ostatnie kilka znaków. Przechwytywacze schowka często generują adresy, które pasują do początku i końca adresu zamierzonego odbiorcy, aby uniknąć zwykłej weryfikacji.

Szybko rozwijający się rynek kryptowalut Brazylii, gdzie Bitcoin i inne aktywa cyfrowe odnotowały ostatnio niestabilne zmiany cen, sprawia, że kraj jest celem o wysokiej wartości dla kampanii złośliwego oprogramowania mobilnego. W miarę jak adopcja kryptowalut rośnie w Ameryce Łacińskiej, świadomość bezpieczeństwa musi nadążać za zagrożeniami skierowanymi do posiadaczy detalicznych na ich najbardziej osobistych urządzeniach.

Zastrzeżenie: Ten artykuł ma wyłącznie charakter informacyjny i nie stanowi porady finansowej ani inwestycyjnej. Rynki kryptowalut i aktywów cyfrowych niosą ze sobą znaczne ryzyko. Zawsze przeprowadzaj własne badania przed podejmowaniem decyzji.