Troià bancari BeatBanker

El Mezo el Programari maliciós mòbil, Troià bancari

Traduir a:

BeatBanker és un programari maliciós sofisticat per a Android distribuït a través de llocs web fraudulents dissenyats per imitar la Google Play Store. La campanya maliciosa enganya els usuaris perquè descarreguin aplicacions que semblen legítimes però que en realitat proporcionen un potent troià bancari combinat amb capacitats de mineria de criptomonedes. Un cop instal·lat, el programari maliciós pot segrestar el dispositiu infectat, manipular les interfícies d'usuari i realitzar transaccions financeres no autoritzades. L'eliminació immediata és essencial quan es detecta l'amenaça, ja que el funcionament continu pot provocar pèrdues financeres, violacions de la privadesa i comprometre el dispositiu a llarg termini.

Taula de continguts

Execució sense fitxers i tècniques antianàlisi

Després de l'execució, BeatBanker comença recopilant informació essencial de la xarxa, com ara l'adreça IP del dispositiu, el tipus de dispositiu, l'estat d'ús de la VPN i els detalls de connectivitat relacionats. En lloc d'emmagatzemar els seus components maliciosos com a fitxers a l'emmagatzematge del dispositiu, el programari maliciós carrega el seu codi directament a la memòria. Aquesta tècnica d'execució sense fitxers redueix significativament la probabilitat de detecció per part de les eines de seguretat mòbil tradicionals.

Per evadir encara més l'anàlisi, BeatBanker comprova si s'està executant dins d'un entorn de proves o de recerca, com ara un emulador o un sandbox. Si es detecten aquestes condicions, el programari maliciós finalitza immediatament el seu funcionament. Aquest mecanisme defensiu ajuda a evitar que els investigadors de ciberseguretat i els sistemes automatitzats analitzin el seu comportament.

Enginyeria social a través de pàgines falses de Google Play Store

Després de superar les comprovacions d'entorn, BeatBanker mostra una interfície falsa que s'assembla molt a la pàgina de Google Play Store d'una aplicació anomenada "INSS Reembolso", que afirma falsament que cal una actualització de programari. Quan l'usuari selecciona l'opció "Actualitzar", el programari maliciós sol·licita permís per instal·lar aplicacions i descarrega components maliciosos ocults.

En comptes de confiar en la infraestructura legítima de Google Play, el programari maliciós instal·la aquests components directament abusant dels permisos d'instal·lació elevats. Per mantenir la persistència, el programari maliciós genera una notificació d'actualització del sistema enganyosa i executa un servei en primer pla que reprodueix silenciosament contingut multimèdia, cosa que impedeix que el sistema operatiu finalitzi el procés maliciós.

Mineria de criptomonedes en dispositius de víctimes

Una de les càrregues útils ocultes de BeatBanker és un miner de criptomonedes incrustat dins d'un fitxer descarregat. Aquest component és una versió modificada d'XMRig dissenyada per explotar els recursos de la CPU del dispositiu infectat per minar criptomonedes en nom dels atacants.

El programari maliciós gestiona intel·ligentment l'activitat de mineria monitoritzant paràmetres del sistema com ara el nivell de la bateria, la temperatura del dispositiu i l'activitat de l'usuari. En funció d'aquestes condicions, el miner pot iniciar o pausar automàticament la seva operació per reduir les sospites i prolongar la infecció.

Mecanismes de robatori de criptomonedes i troians bancaris

A més de la capacitat de criptomineria, BeatBanker implementa un troià bancari que intenta obtenir permisos d'accessibilitat. Atorgar aquests permisos permet als atacants controlar la interfície del dispositiu i supervisar les interaccions dels usuaris.

El programari maliciós rastreja activament quines aplicacions s'obren i ataca específicament plataformes de criptomoneda com ara Binance i Trust Wallet, amb un enfocament particular en les transaccions amb USDT. Quan una víctima inicia una transferència, BeatBanker superposa la interfície de transacció legítima amb una pantalla fraudulenta. Durant aquest procés, el programari maliciós substitueix silenciosament l'adreça del destinatari previst per una adreça controlada pels atacants, cosa que fa que els fons es redirigisquin sense que la víctima se n'adoni.

El mòdul bancari també avalua la presència de diversos navegadors mòbils d'ús comú i recopila informació de navegació. Pot manipular enllaços desats dins del navegador predeterminat afegint, editant, eliminant o llistant entrades, i pot obrir URL proporcionades per l'atacant.

Capacitats de comandament i control i manipulació de dispositius

BeatBanker es comunica amb un servidor de comandament i control (C2), cosa que permet als atacants gestionar els dispositius infectats de forma remota i emetre ordres. A través d'aquesta infraestructura, el programari maliciós pot executar una àmplia gamma d'accions malicioses, com ara mostrar actualitzacions falses del sistema, bloquejar la pantalla del dispositiu, extreure el contingut del porta-retalls i transmetre gravacions d'àudio als actors amenaçadors.

Les capacitats addicionals inclouen la possibilitat d'enviar missatges SMS, obrir enllaços controlats per atacants als navegadors, actualitzar les credencials emmagatzemades i llistar els fitxers emmagatzemats al dispositiu. El programari maliciós també pot realitzar accions destructives com ara suprimir fitxers, iniciar un restabliment de fàbrica o desinstal·lar-se per eliminar traces després de completar una operació.

Funcions de vigilància i exfiltració de dades

Més enllà del robatori financer, BeatBanker funciona com una eina de vigilància exhaustiva. És capaç d'enregistrar les pulsacions de tecles, extreure el text que es mostra a la pantalla, fer captures de pantalla i transmetre la pantalla del dispositiu en temps real. La monitorització contínua de les aplicacions en execució permet als atacants observar el comportament dels usuaris i recopilar informació confidencial.

El programari maliciós també conté mecanismes addicionals de control de dispositius, com ara la supervisió d'aplicacions, un tallafocs integrat que pot bloquejar o permetre aplicacions seleccionades, la creació de notificacions persistents i la capacitat de gestionar connexions VPN.

Abús de permisos i mecanismes de persistència

BeatBanker depèn en gran mesura dels permisos d'alt risc d'Android que amplien significativament el seu control sobre el dispositiu. Aquests permisos permeten que el programari maliciós mantingui la persistència, automatitzi les accions i executi ordres sense que l'usuari ho sàpiga.

Les funcions clau habilitades per aquests permisos inclouen:

Accés d'accessibilitat, que permet tocar, desplaçar i manipular la interfície de manera automatitzada
Permisos de superposició que permeten que apareguin pantalles falses sobre aplicacions legítimes
Permís per instal·lar aplicacions de fonts desconegudes, cosa que permet la instal·lació silenciosa de components maliciosos addicionals
La capacitat d'obrir enllaços, executar codis USSD i implementar més paquets de programari maliciós

Aquests privilegis transformen el dispositiu infectat en una plataforma controlada remotament capaç d'executar operacions malicioses complexes.

Variant emergent disfressada d’aplicació StarLink

Investigadors de seguretat han identificat una variant més nova de BeatBanker que es fa passar per una aplicació falsa de StarLink dirigida als usuaris d'Android. A diferència de les versions anteriors, aquesta variant no instal·la el component tradicional del troià bancari.

En comptes d'això, implementa el troià d'administració remota (RAT) BTMOB. BTMOB atorga als atacants accés remot complet als dispositius compromesos i es distribueix com a programari maliciós com a servei (MaaS), cosa que permet als ciberdelinqüents comprar i implementar l'eina sense desenvolupar la seva pròpia infraestructura de programari maliciós.

Vector d’infecció i impacte operacional

Les infeccions de BeatBanker solen començar amb una campanya de phishing que dirigeix les víctimes a llocs web fraudulents dissenyats per semblar-se a la Google Play Store oficial. Es convenç els usuaris perquè descarreguin aplicacions malicioses que es fan passar per serveis relacionats amb el govern, com ara "INSS Reembolso" o aplicacions de serveis públics falsos similars.

Un dispositiu es veu compromès quan la víctima instal·la l'aplicació falsificada. Després de l'activació, BeatBanker recupera components addicionals, inclòs el miner de criptomonedes, i estableix accés persistent al dispositiu.

Les capacitats combinades del programari maliciós permeten als atacants minar criptomonedes, robar dades financeres, manipular transaccions i mantenir el control remot sobre els dispositius infectats. Algunes variants també implementen programari maliciós addicional com ara BTMOB, que atorga als adversaris accés prolongat i sense restriccions als sistemes compromesos.

El processador de pagaments d'EnigmaSoft, Digital River GmbH, la declaració de fallida no afecta la protecció antimalware dels clients de SpyHunter

Cerca

Canvia de regió

Troià bancari BeatBanker

Execució sense fitxers i tècniques antianàlisi

Enginyeria social a través de pàgines falses de Google Play Store

Mineria de criptomonedes en dispositius de víctimes

Mecanismes de robatori de criptomonedes i troians bancaris

Capacitats de comandament i control i manipulació de dispositius

Funcions de vigilància i exfiltració de dades

Abús de permisos i mecanismes de persistència

Variant emergent disfressada d’aplicació StarLink

Vector d’infecció i impacte operacional

Enviar Comentari

Tendència

Precludestore.com

Tarwils.com

Suddslife.com

Més vist

Eporner.com

XHAMSTER Ransomware

Fuq.com