TechFlow 보도에 따르면, 3월 22일 SecureList는 해커들이 브라질에서 구글 플레이 스토어를 모방한 피싱 웹사이트를 통해 안드로이드 악성코드 공격을 시작했다고 밝혔다. 현재까지 확인된 모든 피해자는 브라질 내에 위치해 있다.
공격자들은 구글 플레이와 매우 유사한 외관을 가진 피싱 웹사이트를 구축하여 사용자가 ‘INSS Reembolso’라는 위조 애플리케이션을 다운로드하도록 유도했다. 이 애플리케이션을 설치하면 단계적으로 숨겨진 악성 코드가 실행되며, 해당 코드는 기기에 어떤 가시적인 파일도 남기지 않고 메모리 상에서 직접 실행되어 강력한 은닉성을 갖춘다.
이 악성코드의 주요 기능 중 하나는 암호화폐 마이닝이다. 악성코드에는 ARM 기기용으로 컴파일된 XMRig 마이닝 프로그램이 내장되어 있으며, 이 프로그램은 백그라운드에서 공격자가 통제하는 마이닝 서버에 은밀히 연결된다. 또한 이 프로그램은 배터리 잔량, 기기 온도 및 사용 상태를 실시간으로 감시하여 탐지를 피하기 위해 마이닝 활동을 동적으로 조정하며, 무음 오디오 파일을 반복 재생함으로써 안드로이드 시스템의 백그라운드 프로세스 관리 메커니즘을 우회한다.
일부 변종에는 은행 정보를 탈취하는 트로이 목마 기능도 내장되어 있어, 바이낸스(Binance) 및 트러스트 월렛(Trust Wallet)의 USDT 송금 인터페이스 위에 위조된 페이지를 오버레이하고 수취인 주소를 은밀히 교체할 수 있다. 더불어 이 악성코드는 녹음, 화면 캡처, 키보드 입력 로깅, 원격 기기 잠금 등 다양한 원격 제어 명령을 지원한다.
