TechFlow đưa tin, ngày 22 tháng 3, theo báo cáo từ SecureList, các hacker đã tiến hành một chiến dịch tấn công phần mềm độc hại trên nền tảng Android tại Brazil bằng cách sử dụng trang web giả mạo Cửa hàng Google Play. Hiện tất cả các nạn nhân đã biết đều ở Brazil.
Các đối tượng tấn công đã xây dựng một trang web lừa đảo gần như giống hệt Cửa hàng Google Play nhằm dụ người dùng tải về ứng dụng giả mang tên “INSS Reembolso”. Sau khi được cài đặt, ứng dụng này sẽ lần lượt giải nén và thực thi mã độc ẩn trong bộ nhớ mà không để lại bất kỳ tệp nào hiển thị trên thiết bị, do đó có tính ẩn rất cao.
Một trong những chức năng chính của phần mềm độc hại là khai thác tiền điện tử: chương trình khai thác XMRig được biên dịch riêng cho thiết bị ARM được tích hợp bên trong, có khả năng kết nối âm thầm với máy chủ khai thác do kẻ tấn công kiểm soát ở chế độ nền. Chương trình này theo dõi mức pin, nhiệt độ và trạng thái sử dụng thiết bị để điều chỉnh động hành vi khai thác nhằm tránh bị phát hiện, đồng thời phát liên tục các tập tin âm thanh không tiếng để vượt qua cơ chế quản lý tiến trình nền của hệ điều hành Android.
Một số biến thể còn chứa phần mềm gián điệp ngân hàng, có thể chồng lên giao diện chuyển tiền USDT trên Binance và Trust Wallet bằng một trang giả mạo, từ đó thay thế âm thầm địa chỉ ví nhận tiền. Ngoài ra, phần mềm độc hại này còn hỗ trợ nhiều lệnh điều khiển từ xa như ghi âm, chụp màn hình, ghi lại thao tác bàn phím và khóa thiết bị từ xa.
