Rabattilbud med flere licenser
Trusseldatabase Mobil malware BeatBanker Banking Trojan

BeatBanker Banking Trojan

Med Mezo i Mobil malware, Bank Trojan
Oversæt til:

BeatBanker er en sofistikeret Android-malware, der distribueres via falske websteder, der er designet til at efterligne Google Play Store. Den ondsindede kampagne narrer brugerne til at downloade apps, der ser legitime ud, men som i virkeligheden leverer en kraftfuld banktrojan kombineret med kryptovaluta-minedrift. Når malwaren er installeret, kan den kapre den inficerede enhed, manipulere brugergrænseflader og udføre uautoriserede finansielle transaktioner. Øjeblikkelig fjernelse er afgørende, når truslen opdages, da fortsat drift kan resultere i økonomiske tab, krænkelser af privatlivets fred og langvarig kompromittering af enheden.

Filløse udførelses- og antianalyseteknikker

Ved udførelse begynder BeatBanker med at indsamle vigtige netværksoplysninger, herunder enhedens IP-adresse, enhedstype, VPN-brugsstatus og relaterede forbindelsesdetaljer. I stedet for at gemme sine skadelige komponenter som filer på enhedens lager, indlæser malwaren sin kode direkte i hukommelsen. Denne filløse udførelsesteknik reducerer sandsynligheden for opdagelse af traditionelle mobile sikkerhedsværktøjer betydeligt.

For yderligere at undgå analyse kontrollerer BeatBanker, om den kører i et test- eller forskningsmiljø, såsom en emulator eller sandkasse. Hvis sådanne forhold opdages, afslutter malwaren øjeblikkeligt sin drift. Denne forsvarsmekanisme hjælper med at forhindre cybersikkerhedsforskere og automatiserede systemer i at analysere dens adfærd.

Social manipulation via falske sider i Google Play Store

Efter at have bestået sine miljøkontroller viser BeatBanker en forfalsket brugerflade, der minder meget om Google Play Butik-siden for en applikation med navnet 'INSS Reembolso', og hævder fejlagtigt, at en softwareopdatering er påkrævet. Når brugeren vælger indstillingen 'Opdater', anmoder malwaren om tilladelse til at installere applikationer og downloader skjulte skadelige komponenter.

I stedet for at stole på den legitime Google Play-infrastruktur installerer malwaren disse komponenter direkte ved at misbruge forhøjede installationstilladelser. For at opretholde persistens genererer malwaren en vildledende systemopdateringsmeddelelse og kører en forgrundstjeneste, der lydløst afspiller medier, hvilket forhindrer operativsystemet i at afslutte den skadelige proces.

Kryptovaluta-mining på ofrenes enheder

En af BeatBankers skjulte nyttelaster er en kryptovaluta-miner, der er indlejret i en downloadet fil. Denne komponent er en modificeret version af XMRig, der er designet til at udnytte den inficerede enheds CPU-ressourcer til at mine kryptovaluta på vegne af angriberne.

Malwaren styrer intelligent miningaktivitet ved at overvåge systemparametre som batteriniveau, enhedstemperatur og brugeraktivitet. Baseret på disse forhold kan mineren automatisk starte eller sætte sin drift på pause for at reducere mistanke og forlænge infektionen.

Banktrojanere og tyverimekanismer for kryptovaluta

Udover kryptomining-funktionen anvender BeatBanker en banktrojan, der forsøger at opnå adgangstilladelser. Ved at give disse tilladelser kan angribere kontrollere enhedens brugerflade og overvåge brugerinteraktioner.

Malwaren sporer aktivt, hvilke applikationer der åbnes, og er specifikt rettet mod kryptovalutaplatforme som Binance og Trust Wallet, med særligt fokus på USDT-transaktioner. Når et offer initierer en overførsel, overlapper BeatBanker den legitime transaktionsgrænseflade med en bedragerisk skærm. Under denne proces erstatter malwaren lydløst den tilsigtede modtageradresse med en adresse, der kontrolleres af angriberne, hvilket får pengene til at blive omdirigeret uden offerets viden.

Bankmodulet evaluerer også tilstedeværelsen af adskillige almindeligt anvendte mobilbrowsere og indsamler browseroplysninger. Det kan manipulere gemte links i standardbrowseren ved at tilføje, redigere, slette eller vise poster, og det kan åbne URL'er leveret af angriberen.

Kommando- og kontrolfunktioner og enhedsmanipulation

BeatBanker kommunikerer med en kommando-og-kontrol (C2) server, hvilket giver angribere mulighed for at fjernstyre inficerede enheder og udstede kommandoer. Gennem denne infrastruktur kan malwaren udføre en bred vifte af ondsindede handlinger, herunder visning af falske systemopdateringer, låsning af enhedens skærm, udtrækning af indhold fra udklipsholder og overførsel af lydoptagelser til trusselsaktører.

Yderligere funktioner inkluderer muligheden for at sende SMS-beskeder, åbne angriberstyrede links i browsere, opdatere gemte legitimationsoplysninger og liste filer, der er gemt på enheden. Malwaren kan også udføre destruktive handlinger såsom at slette filer, starte en fabriksnulstilling eller afinstallere sig selv for at fjerne spor efter at have afsluttet en handling.

Overvågnings- og dataeksfiltreringsfunktioner

Ud over økonomisk tyveri fungerer BeatBanker som et omfattende overvågningsværktøj. Det er i stand til at optage tastetryk, udtrække tekst, der vises på skærmen, tage skærmbilleder og streame enhedens skærm i realtid. Kontinuerlig overvågning af kørende applikationer giver angriberne mulighed for at observere brugeradfærd og indsamle følsomme oplysninger.

Malwaren indeholder også yderligere enhedskontrolmekanismer, herunder applikationsovervågning, en indbygget firewall, der kan blokere eller tillade udvalgte apps, vedvarende notifikationsoprettelse og muligheden for at administrere VPN-forbindelser.

Misbrug af tilladelser og vedvarende mekanismer

BeatBanker er i høj grad afhængig af højrisiko-Android-tilladelser, der udvider dens kontrol over enheden betydeligt. Disse tilladelser giver malwaren mulighed for at opretholde vedholdenhed, automatisere handlinger og udføre kommandoer uden brugerens bevidsthed.

Nøglefunktioner, der aktiveres af disse tilladelser, omfatter:

  • Tilgængelighedsadgang, der muliggør automatiserede tryk, swipes og manipulation af grænsefladen
  • Overlay-tilladelser, der tillader visning af falske skærme oven på legitime applikationer
  • Tilladelse til at installere programmer fra ukendte kilder, hvilket muliggør lydløs installation af yderligere skadelige komponenter
  • Muligheden for at åbne links, udføre USSD-koder og implementere yderligere malwarepakker

Disse privilegier omdanner den inficerede enhed til en fjernstyret platform, der er i stand til at udføre komplekse ondsindede operationer.

Ny variant forklædt som en StarLink-applikation

Sikkerhedsforskere har identificeret en nyere variant af BeatBanker, der udgiver sig for at være en falsk StarLink-applikation rettet mod Android-brugere. I modsætning til tidligere versioner installerer denne variant ikke den traditionelle banktrojanerkomponent.

I stedet implementerer den BTMOB-fjernadministrations-trojaneren (RAT). BTMOB giver angribere fuld fjernadgang til kompromitterede enheder og distribueres som Malware-as-a-Service (MaaS), hvilket gør det muligt for cyberkriminelle at købe og implementere værktøjet uden at udvikle deres egen malware-infrastruktur.

Infektionsvektor og operationel påvirkning

BeatBanker-infektioner starter typisk med en phishing-kampagne, der leder ofre til falske websteder, der er designet til at ligne den officielle Google Play Store. Brugere bliver overtalt til at downloade ondsindede apps, der udgiver sig for at være regeringsrelaterede tjenester såsom 'INSS Reembolso' eller lignende falske hjælpeprogrammer.

En enhed bliver kompromitteret, når offeret installerer den forfalskede applikation. Efter aktivering henter BeatBanker yderligere komponenter, herunder kryptovaluta-mineren, og etablerer permanent adgang til enheden.

Malwarens kombinerede egenskaber gør det muligt for angribere at udvinde kryptovaluta, stjæle finansielle data, manipulere transaktioner og opretholde fjernkontrol over inficerede enheder. Nogle varianter anvender også yderligere malware, såsom BTMOB, hvilket giver modstandere forlænget og ubegrænset adgang til kompromitterede systemer.

Trending

Mest sete

Indlæser...