خرید ارز دیجیتال بازارها اسپات فیوچرزGOLD پس انداز مرکز رویداد

بیشتر

هکرها از صفحات جعلی فروشگاه گوگل پلی برای انتشار یک کمپین بدافزار اندروید در برزیل استفاده می‌کنند.هکرها از صفحات جعلی فروشگاه گوگل پلی برای انتشار یک کمپین بدافزار اندروید در برزیل استفاده می‌کنند.

هکرها از گوگل پلی تقلید می‌کنند تا بدافزار استخراج ابری کریپتو را منتشر کنند

نویسنده: Cryptopolitan

منبع: Cryptopolitan

2026/03/22 18:32

مدت مطالعه: 4 دقیقه

اشتراک

برای ارائه بازخورد یا طرح هرگونه نگرانی درباره این محتوا، لطفاً با ما از طریق crypto.news@mexc.com تماس بگیرید.

هکرها از طریق یک طرح فیشینگ جدید قربانیان را هدف قرار می‌دهند. طبق پستی از SecureList، هکرها از صفحات جعلی Google Play Store برای انتشار یک کمپین بدافزار اندروید در برزیل استفاده می‌کنند.

اپلیکیشن مضر به نظر یک دانلود قانونی می‌رسد، اما پس از نصب، تلفن‌های آلوده را به دستگاه‌های استخراج ارز دیجیتال تبدیل می‌کند. علاوه بر این، برای نصب بدافزار بانکی و اعطای دسترسی از راه دور به عوامل تهدید استفاده می‌شود.

هکرها گوشی‌های هوشمند برزیلی را به دستگاه‌های استخراج ارز دیجیتال تبدیل می‌کنند

کمپین در یک وبسایت فیشینگ شروع می‌شود که تقریباً مشابه Google Play به نظر می‌رسد. یکی از صفحات یک اپلیکیشن جعلی به نام INSS Reembolso را ارائه می‌دهد که ادعا می‌کند به سرویس تامین اجتماعی برزیل مرتبط است. طراحی UX/UI از یک سرویس دولتی مورد اعتماد و چیدمان Play Store کپی می‌کند تا دانلود را ایمن نشان دهد.

پس از نصب اپلیکیشن جعلی، بدافزار کد پنهان را در مراحل متعدد باز می‌کند. از اجزای رمزگذاری شده استفاده می‌کند و کد اصلی مخرب را مستقیماً در حافظه بارگذاری می‌کند. هیچ فایل قابل مشاهده‌ای در دستگاه وجود ندارد و تشخیص هرگونه فعالیت مشکوک برای کاربران دشوار می‌شود.

بدافزار همچنین از تجزیه و تحلیل توسط محققان امنیتی اجتناب می‌کند. بررسی می‌کند که آیا تلفن در محیط شبیه‌سازی شده در حال اجرا است یا خیر. اگر آن را تشخیص دهد، کار را متوقف می‌کند.

پس از نصب موفق، بدافزار به دانلود فایل‌های مخرب بیشتر ادامه می‌دهد. یک صفحه دیگر به سبک Google Play جعلی نشان می‌دهد، سپس یک اعلان به‌روزرسانی نادرست را نمایش می‌دهد و کاربر را به ضربه زدن روی دکمه به‌روزرسانی سوق می‌دهد.

یکی از آن فایل‌ها یک استخراج‌کننده ارز دیجیتال است که نسخه‌ای از XMRig کامپایل شده برای دستگاه‌های ARM است. بدافزار payload استخراج را از زیرساخت کنترل شده توسط مهاجم دریافت می‌کند. سپس آن را رمزگشایی می‌کند و روی تلفن اجرا می‌کند. payload دستگاه‌های آلوده را به سرورهای استخراج کنترل شده توسط مهاجمان متصل می‌کند تا به طور خاموش ارز دیجیتال را در پس‌زمینه استخراج کند.

بدافزار پیچیده است و به صورت کورکورانه ارز دیجیتال استخراج نمی‌کند. طبق تجزیه و تحلیل SecureList، بدافزار درصد شارژ باتری، دما، سن نصب و اینکه آیا تلفن به طور فعال استفاده می‌شود را نظارت می‌کند. استخراج بر اساس داده‌های نظارت شده شروع یا متوقف می‌شود. هدف پنهان ماندن و کاهش هرگونه احتمال تشخیص است.

اندروید اپلیکیشن‌های پس‌زمینه را برای ذخیره باتری می‌کشد، اما بدافزار با تکرار یک فایل صوتی تقریباً بی‌صدا از این موضوع اجتناب می‌کند. استفاده فعال را جعل می‌کند تا از غیرفعال‌سازی خودکار اندروید جلوگیری کند.

برای ادامه ارسال دستورات، بدافزار از Firebase Cloud Messaging استفاده می‌کند که یک سرویس قانونی گوگل است. این کار برای مهاجمان آسان می‌کند تا دستورالعمل‌های جدید ارسال کنند و فعالیت در دستگاه آلوده را مدیریت کنند.

تروجان بانکی انتقالات USDT را هدف قرار می‌دهد

بدافزار بیشتر از استخراج سکه انجام می‌دهد. برخی از نسخه‌ها همچنین یک تروجان بانکی را نصب می‌کنند که بایننس و Trust Wallet را هدف قرار می‌دهد، به ویژه در طول انتقالات USDT. صفحات جعلی را در بالای اپلیکیشن‌های واقعی قرار می‌دهد، سپس به آرامی آدرس کیف پول را با آدرسی که توسط مهاجم کنترل می‌شود جایگزین می‌کند.

ماژول بانکی همچنین مرورگرهایی مانند Chrome و Brave را نظارت می‌کند و از طیف گسترده‌ای از دستورات از راه دور پشتیبانی می‌کند. اینها شامل ضبط صدا، گرفتن اسکرین‌شات، ارسال پیام SMS، قفل کردن دستگاه، پاک کردن داده‌ها و ثبت ضربات کلید است.

هکرها صفحات Google Play Store را جعل می‌کنند تا ارز دیجیتال استخراج کنند.

صفحات پوشش جعلی از بایننس (چپ) و Trust Wallet (راست). منبع: SecureList.

نمونه‌های اخیر دیگر همان روش ارائه اپلیکیشن جعلی را حفظ می‌کنند اما به payload متفاوتی تغییر می‌کنند. آنها BTMOB RAT را نصب می‌کنند، یک ابزار دسترسی از راه دور که در بازارهای زیرزمینی فروخته می‌شود.

BTMOB بخشی از یک اکوسیستم بدافزار به عنوان سرویس (MaaS) است. مهاجمان می‌توانند آن را بخرند یا اجاره کنند که مانع هک و سرقت را کاهش می‌دهد. این ابزار دسترسی عمیق‌تری به مهاجمان می‌دهد، از جمله ضبط صفحه، دسترسی به دوربین، ردیابی GPS و سرقت اعتبارنامه.

BTMOB به طور فعال به صورت آنلاین تبلیغ می‌شود. یک عامل تهدید دموهای بدافزار را در YouTube به اشتراک گذاشت و نشان داد چگونه دستگاه‌های آلوده را کنترل کند. فروش و پشتیبانی از طریق یک حساب تلگرام انجام می‌شود.

SecureList اعلام کرد که تمام قربانیان شناخته شده در برزیل هستند. برخی از انواع جدیدتر نیز از طریق WhatsApp و صفحات فیشینگ دیگر در حال گسترش هستند.

کمپین‌های هک پیچیده مانند این یادآوری هستند که همه چیز را تأیید کنید و به هیچ چیز اعتماد نکنید.

فقط اخبار کریپتو را نخوانید. آن را درک کنید. در خبرنامه ما عضو شوید. رایگان است.

سلب مسئولیت: مطالب بازنشرشده در این وب‌ سایت از منابع عمومی گردآوری شده‌ اند و صرفاً به‌ منظور اطلاع‌ رسانی ارائه می‌ شوند. این مطالب لزوماً بازتاب‌ دهنده دیدگاه‌ ها یا مواضع MEXC نیستند. کلیه حقوق مادی و معنوی آثار متعلق به نویسندگان اصلی است. در صورت مشاهده هرگونه محتوای ناقض حقوق اشخاص ثالث، لطفاً از طریق آدرس ایمیل crypto.news@mexc.com با ما تماس بگیرید تا مورد بررسی و حذف قرار گیرد.MEXC هیچ‌ گونه تضمینی نسبت به دقت، جامعیت یا به‌ روزبودن اطلاعات ارائه‌ شده ندارد و مسئولیتی در قبال هرگونه اقدام یا تصمیم‌ گیری مبتنی بر این اطلاعات نمی‌ پذیرد. همچنین، محتوای منتشرشده نباید به‌عنوان توصیه مالی، حقوقی یا حرفه‌ ای تلقی شود و به منزله پیشنهاد یا تأیید رسمی از سوی MEXC نیست.