TechFlow rapporte, le 22 mars, qu’après une divulgation de SecureList, des pirates informatiques ont lancé au Brésil une campagne d’attaques malveillantes ciblant les appareils Android via une page de hameçonnage imitant le Google Play Store. À ce jour, tous les victimes connues résident au Brésil.
Les attaquants ont mis en place un site Web de hameçonnage très similaire au Google Play Store afin d’inciter les utilisateurs à télécharger une application factice intitulée « INSS Reembolso ». Une fois installée, cette application libère progressivement un code malveillant caché, qui est directement chargé en mémoire sans laisser de fichiers visibles sur l’appareil, ce qui confère une forte capacité de dissimulation.
L’une des fonctionnalités centrales de ce logiciel malveillant est l’exploitation minière de cryptomonnaies : il embarque une version compilée pour les processeurs ARM du programme minier XMRig, capable de se connecter discrètement, en arrière-plan, aux serveurs miniers contrôlés par les attaquants. Ce programme surveille en continu le niveau de la batterie, la température de l’appareil ainsi que son état d’utilisation, afin d’ajuster dynamiquement l’activité minière et d’éviter la détection ; il contourne également le gestionnaire de processus en arrière-plan d’Android en jouant en boucle un fichier audio muet.
Certains variants intègrent par ailleurs un cheval de Troie bancaire capable d’afficher, par superposition, une fausse interface sur les écrans de transfert de USDT dans les applications Binance et Trust Wallet, permettant ainsi de remplacer silencieusement l’adresse du destinataire. En outre, ce logiciel malveillant prend en charge diverses commandes de contrôle à distance, notamment l’enregistrement audio, la capture d’écran, l’enregistrement des frappes clavier et le verrouillage à distance de l’appareil.
