Cybercriminelen richten zich op Android gebruikers met een nieuwe en slimme aanval waarbij neppe Google Play paginaโs worden ingezet. Vooral in Braziliรซ slaan de aanvallen aan. Slachtoffers installeren ogenschijnlijk betrouwbare apps, maar geven onbewust toegang tot malware die hun toestel verandert in een crypto miner en zelfs bankgegevens kan stelen.
Bitcoin is verkrijgbaar bij Bitvavo en Bybit.
Smartphones stiekem ingezet voor crypto mining
De aanval begint op phishingwebsites die bijna niet te onderscheiden zijn van de echte Google Play Store. Daar wordt een nep app aangeboden, zoals een applicatie die lijkt te horen bij de Braziliaanse sociale dienst. Door het vertrouwde design denken gebruikers dat ze veilig downloaden.
Na installatie gebeurt er op de achtergrond van alles. De malware laadt verborgen code direct in het geheugen van het toestel, zonder zichtbare bestanden achter te laten. Hierdoor blijft het lange tijd onopgemerkt.
Vervolgens verandert de smartphone in een miningapparaat. De malware installeert een aangepaste versie van XMRig, die de rekenkracht van het toestel gebruikt om crypto te minen. Dit gebeurt slim en gecontroleerd. Zo kijkt de software naar batterijpercentage, temperatuur en gebruik van het toestel om niet op te vallen.
Daarnaast voorkomt de malware dat Android het proces afsluit door continu een bijna onhoorbaar audiobestand af te spelen. Hierdoor lijkt het alsof de app actief in gebruik is.
Volgens onderzoek van SecureList communiceren de aanvallers via Firebase, een legitieme Google dienst. Dit maakt het makkelijker om opdrachten te sturen en de controle over geรฏnfecteerde toestellen te behouden.
Gerichte aanvallen op crypto wallets en USDT
Naast mining richt de malware zich ook op crypto gebruikers. Sommige varianten bevatten een banking trojan die specifiek Binance en Trust Wallet aanvalt. Vooral transacties met USDT zijn een doelwit.
De aanval werkt via een overlay techniek. Terwijl een gebruiker een transactie uitvoert, verschijnt er een nep scherm dat nauwelijks te onderscheiden is van de echte app. Op dat moment vervangt de malware het walletadres door dat van de aanvaller.
Gebruikers merken hier vaak niets van, waardoor funds direct naar criminelen worden gestuurd. Tegelijk verzamelt de malware ook andere gevoelige data, zoals inloggegevens en berichten.
Volledige controle over het toestel
Sommige versies van de malware gaan nog verder en installeren een zogeheten RAT, zoals BTMOB. Dit geeft aanvallers volledige controle over het apparaat. Denk aan het opnemen van audio, maken van screenshots, versturen van smsโjes en zelfs het wissen van data.
De tool wordt actief aangeboden via online kanalen en Telegram, wat het voor criminelen makkelijker maakt om deze aanvallen uit te voeren. Volgens Cryptopolitan verspreiden nieuwere varianten zich inmiddels ook via WhatsApp en andere phishingmethodes.
De campagne laat zien hoe geavanceerd mobiele malware is geworden en hoe belangrijk het is om apps alleen via officiรซle kanalen te downloaden en extra alert te blijven bij crypto transacties. Lees ook over recente gevallen van crypto oplichting om beter voorbereid te zijn.
Volg ons op Google Nieuws en blijf altijd op de hoogte van het laatste crypto nieuws.
Claim 10 euro gratis Bitcoin
Wij mogen in samenwerking met Bitvavo, de grootste exchange van Nederland, maar liefst 10 euro aan Bitcoin of een andere crypto weggeven aan onze bezoekers. Ook mag je tot โฌ10.000 commissievrij handelen binnen 7 dagen na je registratie.
Begin vandaag nog jouw avontuur met 10 euro gratis Bitcoin (hiervoor moet minimaal 10 euro gestort worden) en maak een account aan via onderstaande knop. De voorwaarden voor de actie vind je op de actiepagina.