D3Lab a découvert un faux site imitant le Google Play Store destiné à distribuer une application Android frauduleuse nommée GPT Trade, se présentant comme un assistant de trading basé sur l’IA et utilisant un branding ressemblant à OpenAI/ChatGPT. En réalité, l’APK est un dropper multi-étapes conçu pour installer deux malwares puissants :
- BTMob (spyware Android très invasif)
- UASecurity Miner (module persistant lié à un packer Android abusé par les cybercriminels)
Cette campagne illustre un écosystème moderne combinant phishing d’app store, packer-as-a-service, Telegram bots et infrastructure multi-C2.
Faits clés
- Le site frauduleux playgoogle-gpttrade[.]com incite à télécharger l’APK « GPT Trade ».
- L’application imite un captcha mais génère, prépare et installe deux APK malveillants en arrière-plan.
- Les fichiers de préférences XML montrent que GPT Trade agit comme un dropper/constructeur d’APK, créant des répertoires « original » et « processed ».
- Une fois le captcha validé, l’app :
- déclenche plusieurs processus
dex2oat32 - installe BTMob et UASecurity Miner
- ouvre ensuite chatgpt.com pour masquer l’infection
- déclenche plusieurs processus
TTPs observés
-
Tactiques
- TA0001 – Initial Access : Distribution via faux magasin applicatif / ingénierie sociale
- TA0002 – Execution : Dropper dynamique générant et installant des APK traités
- TA0005 – Defense Evasion : Utilisation d’un packer Android (UASecurity Tools)
- TA0011 – Command and Control : Multiples C2 dédiés, ports alternatifs, domaines XYZ
- TA0003 – Persistence : Services foreground, receivers boot, modules keep-alive
-
Techniques
- T1204 – Malicious App Installation : Téléchargement manuel d’APK
- T1407 – Obfuscated/Encrypted Payloads
- T1406 – Credential Access via Accessibility Services (permissions BTMob)
- T1430 – Overlay Attacks (BTMob)
- T1412 – Screen Recording / Media Projection
- T1584 – Infrastructure as a Service (packer, Telegram bot, domaines multiples)
Conséquences
- Compromission complète potentielle du terminal : accès SMS, contacts, caméra, micro, localisation, fichiers, superposition d’écran, vol d’identifiants via overlays.
- Persistance quasi permanente (services, boot receivers, Firebase).
- Ciblage mondial : infrastructure observée en Europe, Asie, Amériques.
- Abus d’un packer tiers (UASecurity Tools) facilitant l’évasion antivirus et la modularité.
IoCs (Indicators of Compromise)
Dropper : GPT Trade (com.jxtfkrsl.bjtgsb)
- MD5 : 25e3c200de4868d754a3b4f4f09ec2bf
- SHA256 : 0a542751724a432a8448324613e0ce10393e41739a1800cbb7d5a2c648fcdc35
- Domaines / IP
- Distribution :
playgoogle-gpttrade[.]com - Téléchargement APK :
https://playgoogle-gpttrade[.]com/GPT%20Trade.apk - Contact packer :
timeserver[.]uasecurity[.]org→ 207.90.195.25:2000
- Distribution :
Payload #1 – UASecurity Miner (com.xenlyqw.jkkcyubcust)
- MD5 : 526e3f4426359b4b31f3d746acfb4d13
- SHA256 : 918f002a41f9551d48ece999ccba504fcf7596017d9566c07c5335fe0081effe
- C2
- 147[.]93[.]153[.]119 (ports : 50904, 50912, 50916, 50920)
aptabase[.]fud2026[.]xyz
Payload #2 – BTMob Spyware (mooz.balkcigol.rotinom)
- MD5 : 4ccb99a365b4a42e8b565f8058d059bc
- SHA256 : 7f005c10f80372311e9c038526d81d931672d15c644fef2a77eefd67c6235917
- C2
http://95[.]164[.]53[.]100/private/yarsap_80541.phphttp://95[.]164[.]53[.]100:8080/
Situation actuelle
- La campagne est active et le site frauduleux reste accessible.
- Les deux familles de malwares sont fonctionnelles et communiquent avec leurs serveurs C2 respectifs.
- D3Lab poursuit la surveillance de l’infrastructure et le lien avec UASecurity Tools.
- Aucun lien prouvé entre UASecurity et les auteurs, mais son service est clairement exploité dans la chaîne d’infection.
Type d’article: analyse de menace présentant la campagne, ses leurres et les malwares impliqués.
🔗 Source originale : https://www.d3lab.net/gpt-trade-fake-google-play-store-drops-btmob-spyware-and-uasecurity-miner-on-android-devices/