Slevová nabídka pro více licencí
Databáze hrozeb Mobilní malware Bankovní trojan BeatBanker

Bankovní trojan BeatBanker

V roce Mezo v roce Mobilní malware, Bankovní Trojan
Přeložit do:

BeatBanker je sofistikovaný malware pro Android distribuovaný prostřednictvím podvodných webových stránek, jejichž cílem je napodobit Obchod Google Play. Škodlivá kampaň klame uživatele ke stažení aplikací, které se zdají být legitimní, ale ve skutečnosti obsahují výkonného bankovního trojského koně v kombinaci s funkcemi těžby kryptoměn. Po instalaci může malware unést infikované zařízení, manipulovat s uživatelským rozhraním a provádět neoprávněné finanční transakce. Okamžité odstranění je nezbytné, pokud je hrozba zjištěna, protože pokračující provoz může vést k finančním ztrátám, narušení soukromí a dlouhodobému ohrožení zařízení.

Bezsouborové spouštění a techniky antianalýzy

Po spuštění BeatBanker začne shromažďovat základní informace o síti, včetně IP adresy zařízení, typu zařízení, stavu využití VPN a souvisejících podrobností o připojení. Místo ukládání škodlivých komponent jako souborů v úložišti zařízení malware načítá svůj kód přímo do paměti. Tato technika spouštění bez souborů výrazně snižuje pravděpodobnost detekce tradičními nástroji pro mobilní zabezpečení.

Aby se BeatBanker dále vyhnul analýze, kontroluje, zda běží v testovacím nebo výzkumném prostředí, jako je emulátor nebo sandbox. Pokud jsou takové podmínky zjištěny, malware okamžitě ukončí svou činnost. Tento obranný mechanismus pomáhá zabránit výzkumníkům v kybernetické bezpečnosti a automatizovaným systémům v analýze jeho chování.

Sociální inženýrství prostřednictvím falešných stránek obchodu Google Play

Po úspěšném absolvování kontrol prostředí BeatBanker zobrazí falešné rozhraní, které se velmi podobá stránce Obchodu Google Play pro aplikaci s označením „INSS Reembolso“, a falešně tvrdí, že je nutná aktualizace softwaru. Když uživatel vybere možnost „Aktualizovat“, malware požádá o povolení k instalaci aplikací a stáhne skryté škodlivé komponenty.

Místo spoléhání se na legitimní infrastrukturu Google Play instaluje malware tyto komponenty přímo zneužitím zvýšených instalačních oprávnění. Pro zachování trvalosti malware generuje klamné oznámení o aktualizaci systému a spouští službu v popředí, která tiše přehrává média a brání operačnímu systému v ukončení škodlivého procesu.

Těžba kryptoměn na zařízeních obětí

Jedním ze skrytých užitečných dat BeatBankeru je těžař kryptoměn vložený do staženého souboru. Tato komponenta je upravenou verzí XMRig, která je navržena tak, aby zneužívala zdroje procesoru infikovaného zařízení k těžbě kryptoměn jménem útočníků.

Malware inteligentně řídí těžební aktivitu monitorováním systémových parametrů, jako je úroveň nabití baterie, teplota zařízení a aktivita uživatelů. Na základě těchto podmínek může těžař automaticky spustit nebo pozastavit svou činnost, aby se snížilo podezření a prodloužila se infekce.

Mechanismy krádeže bankovních trojanů a kryptoměn

Kromě těžby kryptoměn BeatBanker nasazuje bankovního trojského koně, který se pokouší získat oprávnění k přístupu. Udělení těchto oprávnění umožňuje útočníkům ovládat rozhraní zařízení a sledovat interakce uživatelů.

Malware aktivně sleduje, které aplikace jsou otevírány, a konkrétně cílí na kryptoměnové platformy, jako jsou Binance a Trust Wallet, se zvláštním zaměřením na transakce USDT. Když oběť zahájí převod, BeatBanker překryje legitimní transakční rozhraní podvodnou obrazovkou. Během tohoto procesu malware tiše nahradí zamýšlenou adresu příjemce adresou kontrolovanou útočníky, což způsobí přesměrování finančních prostředků bez vědomí oběti.

Bankovní modul také vyhodnocuje přítomnost několika běžně používaných mobilních prohlížečů a shromažďuje informace o prohlížení. Dokáže manipulovat s uloženými odkazy ve výchozím prohlížeči přidáváním, úpravou, mazáním nebo zobrazováním záznamů a může otevírat adresy URL poskytnuté útočníkem.

Schopnosti velení a řízení a manipulace se zařízeními

BeatBanker komunikuje se serverem command-and-control (C2), což útočníkům umožňuje vzdáleně spravovat infikovaná zařízení a vydávat příkazy. Prostřednictvím této infrastruktury může malware provádět širokou škálu škodlivých akcí, včetně zobrazování falešných aktualizací systému, uzamčení obrazovky zařízení, extrahování obsahu schránky a přenosu zvukových nahrávek útočníkům.

Mezi další funkce patří možnost odesílat SMS zprávy, otevírat odkazy ovládané útočníkem v prohlížečích, aktualizovat uložené přihlašovací údaje a zobrazovat seznam souborů uložených v zařízení. Malware může také provádět destruktivní akce, jako je mazání souborů, zahájení obnovení továrního nastavení nebo odinstalace za účelem odstranění stop po dokončení operace.

Funkce sledování a exfiltrace dat

Kromě finančních krádeží funguje BeatBanker jako rozsáhlý nástroj pro sledování. Je schopen zaznamenávat stisknutí kláves, extrahovat text zobrazený na obrazovce, pořizovat snímky obrazovky a streamovat obrazovku zařízení v reálném čase. Neustálé sledování spuštěných aplikací umožňuje útočníkům sledovat chování uživatelů a shromažďovat citlivé informace.

Malware také obsahuje další mechanismy pro správu zařízení, včetně monitorování aplikací, vestavěného firewallu, který může blokovat nebo povolit vybrané aplikace, vytváření trvalých oznámení a možnosti správy VPN připojení.

Zneužití oprávnění a mechanismy trvalosti

BeatBanker se silně spoléhá na vysoce riziková oprávnění systému Android, která výrazně rozšiřují jeho kontrolu nad zařízením. Tato oprávnění umožňují malwaru udržovat trvalost, automatizovat akce a provádět příkazy bez vědomí uživatele.

Mezi klíčové funkce umožněné těmito oprávněními patří:

  • Přístup k usnadnění přístupu, který umožňuje automatizované klepnutí, přejetí prstem a manipulaci s rozhraním
  • Překryvná oprávnění, která umožňují zobrazování falešných obrazovek přes legitimní aplikace
  • Povolení k instalaci aplikací z neznámých zdrojů, což umožňuje tichou instalaci dalších škodlivých komponent
  • Schopnost otevírat odkazy, spouštět USSD kódy a nasazovat další malware balíčky

Tato oprávnění transformují infikované zařízení na vzdáleně ovládanou platformu schopnou provádět složité škodlivé operace.

Nově vznikající varianta maskovaná jako aplikace StarLink

Bezpečnostní experti identifikovali novější variantu aplikace BeatBanker, která se maskuje jako falešná aplikace StarLink zaměřená na uživatele systému Android. Na rozdíl od dřívějších verzí tato varianta neinstaluje tradiční bankovní trojský kůň.

Místo toho nasazuje trojského koně pro vzdálenou správu (RAT) BTMOB. BTMOB poskytuje útočníkům plný vzdálený přístup k napadeným zařízením a je distribuován jako Malware jako služba (MaaS), což kyberzločincům umožňuje zakoupit a nasadit tento nástroj, aniž by si museli vyvíjet vlastní malwarovou infrastrukturu.

Přenašeč infekce a provozní dopad

Infekce virem BeatBanker obvykle začínají phishingovou kampaní, která oběti směruje na podvodné webové stránky navržené tak, aby připomínaly oficiální Obchod Google Play. Uživatelé jsou přesvědčováni ke stažení škodlivých aplikací, které se vydávají za vládní služby, jako je například „INSS Reembolso“ nebo podobné falešné utilitní aplikace.

Zařízení se stane napadeným, jakmile oběť nainstaluje padělanou aplikaci. Po aktivaci BeatBanker načte další komponenty, včetně těžaře kryptoměn, a zřídí trvalý přístup k zařízení.

Kombinované schopnosti malwaru umožňují útočníkům těžit kryptoměny, krást finanční data, manipulovat s transakcemi a udržovat vzdálenou kontrolu nad infikovanými zařízeními. Některé varianty také nasazují další malware, jako je BTMOB, který útočníkům poskytuje prodloužený a neomezený přístup k napadeným systémům.

Trendy

Nejvíce shlédnuto

Načítání...