Оферта за отстъпка за множество лицензи
База данни за заплахи Мобилен зловреден софтуер Банков троянец BeatBanker

Банков троянец BeatBanker

До Mezo през Мобилен зловреден софтуер, Банков троянски конг
Превод на:

BeatBanker е сложен зловреден софтуер за Android, разпространяван чрез измамнически уебсайтове, предназначени да имитират Google Play Store. Злонамерената кампания подвежда потребителите да изтеглят приложения, които изглеждат легитимни, но всъщност предоставят мощен банков троянски кон, комбиниран с възможности за добив на криптовалута. След като бъде инсталиран, злонамереният софтуер може да отвлече заразеното устройство, да манипулира потребителските интерфейси и да извършва неоторизирани финансови транзакции. Незабавното премахване е от съществено значение, когато заплахата бъде открита, тъй като продължаващата работа може да доведе до финансови загуби, нарушения на поверителността и дългосрочно компрометиране на устройството.

Техники за безфайлово изпълнение и анти-анализ

След изпълнение, BeatBanker започва със събиране на важна мрежова информация, включително IP адреса на устройството, типа на устройството, състоянието на използване на VPN и свързани подробности за свързаността. Вместо да съхранява злонамерените си компоненти като файлове в паметта на устройството, зловредният софтуер зарежда кода си директно в паметта. Тази техника на изпълнение без файлове значително намалява вероятността от откриване от традиционните инструменти за мобилна сигурност.

За да избегне допълнително анализа, BeatBanker проверява дали работи в тестова или изследователска среда, като например емулатор или пясъчник. Ако бъдат открити такива условия, зловредният софтуер незабавно прекратява работата си. Този защитен механизъм помага да се предотврати анализът на поведението му от изследователи по киберсигурност и автоматизирани системи.

Социално инженерство чрез фалшиви страници в Google Play Store

След като премине проверките си за среда, BeatBanker показва фалшив интерфейс, който много наподобява страницата в Google Play Store за приложение с етикет „INSS Reembolso“, като лъжливо твърди, че е необходима актуализация на софтуера. Когато потребителят избере опцията „Актуализиране“, зловредният софтуер изисква разрешение за инсталиране на приложения и изтегля скрити злонамерени компоненти.

Вместо да разчита на легитимната инфраструктура на Google Play, зловредният софтуер инсталира тези компоненти директно, като злоупотребява с повишени разрешения за инсталиране. За да поддържа постоянство, зловредният софтуер генерира измамно известие за системна актуализация и изпълнява услуга на преден план, която тихо възпроизвежда медийно съдържание, предотвратявайки прекратяването на зловредния процес от операционната система.

Копаене на криптовалути на устройства на жертвата

Един от скритите полезни товари на BeatBanker е вграден в изтеглен файл копач на криптовалута. Този компонент е модифицирана версия на XMRig, предназначена да използва ресурсите на процесора на заразеното устройство за добив на криптовалута от името на нападателите.

Зловредният софтуер интелигентно управлява копаещата дейност, като наблюдава системни параметри като ниво на батерията, температура на устройството и потребителска активност. Въз основа на тези условия, копачът може автоматично да стартира или паузира работата си, за да намали подозрението и да удължи инфекцията.

Механизми за кражба на банкови троянци и криптовалути

Наред с възможностите за криптодобив, BeatBanker внедрява банков троянски кон, който се опитва да получи разрешения за достъп. Предоставянето на тези разрешения позволява на атакуващите да контролират интерфейса на устройството и да наблюдават взаимодействията на потребителите.

Зловредният софтуер активно проследява кои приложения се отварят и е насочен специално към криптовалутни платформи като Binance и Trust Wallet, с особен фокус върху USDT транзакции. Когато жертвата инициира превод, BeatBanker покрива легитимния интерфейс за транзакция с измамен екран. По време на този процес зловредният софтуер незабелязано замества адреса на получателя с адрес, контролиран от нападателите, което води до пренасочване на средствата без знанието на жертвата.

Банковият модул също така оценява наличието на няколко често използвани мобилни браузъра и събира информация за сърфирането. Той може да манипулира запазени връзки в браузъра по подразбиране, като добавя, редактира, изтрива или изброява записи, и може да отваря URL адреси, предоставени от нападателя.

Възможности за командване и контрол и манипулиране на устройства

BeatBanker комуникира със сървър за командване и контрол (C2), което позволява на атакуващите дистанционно да управляват заразените устройства и да издават команди. Чрез тази инфраструктура зловредният софтуер може да изпълнява широк спектър от злонамерени действия, включително показване на фалшиви системни актуализации, заключване на екрана на устройството, извличане на съдържанието на клипборда и предаване на аудио записи на злонамерени лица.

Допълнителните възможности включват възможността за изпращане на SMS съобщения, отваряне на контролирани от хакера връзки в браузъри, актуализиране на съхранени идентификационни данни и изброяване на файлове, съхранявани на устройството. Зловредният софтуер може също да извършва разрушителни действия, като например изтриване на файлове, иницииране на фабрично нулиране или самодеинсталиране, за да премахне следи след завършване на операция.

Функции за наблюдение и кражба на данни

Освен финансови кражби, BeatBanker функционира като обширен инструмент за наблюдение. Той е способен да записва натискания на клавиши, да извлича текст, показан на екрана, да прави екранни снимки и да стриймва екрана на устройството в реално време. Непрекъснатото наблюдение на работещите приложения позволява на нападателите да наблюдават поведението на потребителите и да събират чувствителна информация.

Зловредният софтуер съдържа и допълнителни механизми за контрол на устройствата, включително наблюдение на приложенията, вградена защитна стена, която може да блокира или разрешава избрани приложения, създаване на постоянни известия и възможност за управление на VPN връзки.

Механизми за злоупотреба с разрешения и запазване на правата

BeatBanker разчита в голяма степен на високорискови разрешения за Android, които значително разширяват контрола му върху устройството. Тези разрешения позволяват на зловредния софтуер да поддържа постоянство, да автоматизира действия и да изпълнява команди без знанието на потребителя.

Ключовите възможности, активирани от тези разрешения, включват:

  • Достъпност, позволяваща автоматизирани докосвания, плъзгания и манипулиране на интерфейса
  • Разрешения за наслагване, които позволяват фалшиви екрани да се показват върху легитимни приложения
  • Разрешение за инсталиране на приложения от неизвестни източници, което позволява тихо инсталиране на допълнителни злонамерени компоненти
  • Възможността за отваряне на връзки, изпълнение на USSD кодове и внедряване на допълнителни пакети със зловреден софтуер

Тези привилегии трансформират заразеното устройство в дистанционно управлявана платформа, способна да изпълнява сложни злонамерени операции.

Нововъзникващ вариант, маскиран като приложение на StarLink

Изследователи по сигурността са идентифицирали по-нов вариант на BeatBanker, който се маскира като фалшиво приложение StarLink, насочено към потребители на Android. За разлика от по-ранните версии, този вариант не инсталира традиционния компонент на банковия троянски кон.

Вместо това, той използва троянския кон за отдалечено администриране BTMOB (RAT). BTMOB предоставя на атакуващите пълен отдалечен достъп до компрометирани устройства и се разпространява като „зловреден софтуер като услуга“ (MaaS), което позволява на киберпрестъпниците да закупят и внедрят инструмента, без да разработват собствена инфраструктура за зловреден софтуер.

Вектор на инфекцията и оперативно въздействие

Инфекциите с BeatBanker обикновено започват с фишинг кампания, която насочва жертвите към измамни уебсайтове, проектирани да наподобяват официалния Google Play Store. Потребителите са убеждавани да изтеглят злонамерени приложения, представящи се за правителствени услуги, като например „INSS Reembolso“ или подобни фалшиви приложения.

Устройството става компрометирано, след като жертвата инсталира фалшивото приложение. След активирането, BeatBanker извлича допълнителни компоненти, включително копача на криптовалута, и установява постоянен достъп до устройството.

Комбинираните възможности на зловредния софтуер позволяват на атакуващите да добиват криптовалута, да крадат финансови данни, да манипулират транзакции и да поддържат дистанционен контрол над заразените устройства. Някои варианти също така внедряват допълнителен зловреден софтуер, като BTMOB, предоставяйки на нападателите продължителен и неограничен достъп до компрометирани системи.

Тенденция

Най-гледан

Зареждане...