Cyberkriminelle nehmen Android-Nutzer mit einer neuen und ausgeklügelten Angriffsmethode ins Visier, bei der gefälschte Google-Play-Seiten eingesetzt werden. Besonders in Brasilien zeigen die Angriffe Wirkung. Opfer installieren scheinbar vertrauenswürdige Apps, geben jedoch unbewusst Zugriff auf Malware, die ihr Gerät in einen Krypto-Miner verwandelt und sogar Bankdaten stehlen kann.
Bitcoin ist erhältlich bei Bitvavo und Bybit.
Smartphones heimlich für Krypto-Mining eingesetzt
Der Angriff beginnt auf Phishing-Websites, die kaum von der echten Google Play Store-Seite zu unterscheiden sind. Dort wird eine gefälschte App angeboten, beispielsweise eine Anwendung, die angeblich zu einem brasilianischen Sozialdienst gehört. Durch das vertraute Design glauben Nutzer, sicher herunterzuladen.
Nach der Installation geschieht im Hintergrund eine Vielzahl von Prozessen. Die Malware lädt versteckten Code direkt in den Speicher des Geräts, ohne sichtbare Dateien zu hinterlassen. Dadurch bleibt sie lange unentdeckt.
Anschließend wird das Smartphone in ein Mining-Gerät verwandelt. Die Malware installiert eine angepasste Version von XMRig, die die Rechenleistung des Geräts nutzt, um Kryptowährungen zu minen. Dies geschieht intelligent und kontrolliert: Die Software überwacht Akkustand, Temperatur und Nutzung, um nicht aufzufallen.
Zudem verhindert die Malware, dass Android den Prozess beendet, indem sie kontinuierlich eine kaum hörbare Audiodatei abspielt. Dadurch wirkt es, als sei die App aktiv in Nutzung.
Laut Untersuchungen von SecureList kommunizieren die Angreifer über Firebase, einen legitimen Google-Dienst. Dies erleichtert es, Befehle zu senden und die Kontrolle über infizierte Geräte aufrechtzuerhalten.
Gezielte Angriffe auf Krypto-Wallets und USDT
Neben dem Mining zielt die Malware auch gezielt auf Krypto-Nutzer ab. Einige Varianten enthalten einen Banking-Trojaner, der speziell Binance und Trust Wallet angreift. Besonders Transaktionen mit USDT stehen im Fokus.
Der Angriff erfolgt über eine Overlay-Technik. Während ein Nutzer eine Transaktion durchführt, erscheint ein gefälschtes Bildschirmfenster, das kaum vom Original zu unterscheiden ist. In diesem Moment ersetzt die Malware die Wallet-Adresse durch die des Angreifers.
Nutzer bemerken dies oft nicht, wodurch Gelder direkt an Kriminelle gesendet werden. Gleichzeitig sammelt die Malware weitere sensible Daten wie Zugangsdaten und Nachrichten.
Vollständige Kontrolle über das Gerät
Einige Varianten der Malware gehen noch weiter und installieren eine sogenannte RAT (Remote Access Trojan), wie BTMOB. Diese verschafft den Angreifern vollständige Kontrolle über das Gerät – einschließlich Audioaufnahmen, Screenshots, Versand von SMS und sogar dem Löschen von Daten.
Das Tool wird aktiv über Online-Kanäle und Telegram angeboten, was es Kriminellen erleichtert, solche Angriffe durchzuführen. Laut Cryptopolitan verbreiten sich neuere Varianten inzwischen auch über WhatsApp und andere Phishing-Methoden.
Die Kampagne zeigt, wie fortgeschritten mobile Malware geworden ist und wie wichtig es ist, Apps ausschließlich über offizielle Kanäle herunterzuladen und bei Krypto-Transaktionen besonders vorsichtig zu sein. Lesen Sie auch über aktuelle Fälle von Krypto-Betrug, um besser vorbereitet zu sein.
10 Euro kostenloses Bitcoin-Guthaben sichern
In Zusammenarbeit mit Bitvavo, einer der größten europäischen Krypto-Exchanges, dürfen wir unseren Besuchern 10 Euro in Bitcoin oder eine andere Kryptowährung schenken. Zusätzlich können Sie bis zu 10.000 € innerhalb der ersten 7 Tage nach Ihrer Registrierung komplett provisionsfrei handeln.
Starten Sie noch heute Ihr Abenteuer mit 10 Euro kostenlosem Bitcoin-Guthaben (eine Mindesteinzahlung von 10 € ist erforderlich) und erstellen Sie ein Konto über den untenstehenden Button. Die vollständigen Bedingungen zu dieser Aktion finden Sie auf der Aktionsseite.
Bitvavo verfügt über eine MiCA-Lizenz und bietet mehr als 400 Kryptowährungen an.