해커가 구글 플레이 스토어 페이지를 위조하여 브라질 사용자들을 대상으로 암호화폐 채굴 및 지갑 탈취 공격을 실시함

해커가 Google Play 스토어를 모방한 피싱 페이지를 통해 브라질에서 Android 악성 소프트웨어 공격 활동을 시작했습니다. 현재 알려진 모든 피해자는 브라질에 있습니다.

공격자는 Google Play와 매우 유사한 피싱 웹사이트를 구축하여 사용자에게 "INSS Reembolso"라는 위조 애플리케이션을 다운로드하도록 유도했습니다. 해당 애플리케이션이 설치되면 단계적으로 숨겨진 악성 코드를 실행하며, 메모리에 직접 로드되어 장치에 가시적인 파일을 남기지 않아 은폐성이 강합니다. 악성 소프트웨어의 핵심 기능 중 하나는 암호화폐 채굴로, ARM 장치에 맞게 컴파일된 XMRig 채굴 프로그램이 내장되어 있어 백그라운드에서 조용히 공격자가 제어하는 채굴 서버에 연결됩니다. 이 프로그램은 배터리 잔량, 온도 및 장치 사용 상태를 모니터링하여 탐지를 피하기 위해 채굴 행동을 동적으로 조정하며, 무음 오디오 파일을 반복 재생하여 Android 시스템의 백그라운드 프로세스 관리 메커니즘을 우회합니다.

일부 변종은 은행 트로이 목마도 내장하고 있어 Binance와 Trust Wallet의 USDT 송금 인터페이스에 위조 페이지를 겹쳐서 조용히 수취인 주소를 변경할 수 있습니다. 또한, 악성 소프트웨어는 녹음, 스크린샷, 키보드 기록 및 원격 잠금과 같은 여러 원격 제어 명령을 지원합니다.