Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό για κινητά Τραπεζικό Trojan BeatBanker

Τραπεζικό Trojan BeatBanker

Μέχρι το Mezo το Κακόβουλο λογισμικό για κινητά, Τραπεζικός Trojan
Μετάφραση σε:

Το BeatBanker είναι ένα εξελιγμένο κακόβουλο λογισμικό για Android που διανέμεται μέσω δόλιων ιστότοπων που έχουν σχεδιαστεί για να μιμούνται το Google Play Store. Η κακόβουλη καμπάνια εξαπατά τους χρήστες ώστε να κατεβάζουν εφαρμογές που φαίνονται νόμιμες, αλλά στην πραγματικότητα παρέχουν ένα ισχυρό τραπεζικό Trojan σε συνδυασμό με δυνατότητες εξόρυξης κρυπτονομισμάτων. Μόλις εγκατασταθεί, το κακόβουλο λογισμικό μπορεί να κατακλύσει τη μολυσμένη συσκευή, να χειραγωγήσει τις διεπαφές χρήστη και να εκτελέσει μη εξουσιοδοτημένες οικονομικές συναλλαγές. Η άμεση αφαίρεση είναι απαραίτητη όταν εντοπιστεί η απειλή, καθώς η συνεχής λειτουργία μπορεί να οδηγήσει σε οικονομικές απώλειες, παραβιάσεις απορρήτου και μακροπρόθεσμη παραβίαση της συσκευής.

Τεχνικές εκτέλεσης χωρίς αρχεία και αντι-ανάλυσης

Κατά την εκτέλεση, το BeatBanker ξεκινά συλλέγοντας βασικές πληροφορίες δικτύου, όπως η διεύθυνση IP της συσκευής, ο τύπος της συσκευής, η κατάσταση χρήσης VPN και οι σχετικές λεπτομέρειες συνδεσιμότητας. Αντί να αποθηκεύει τα κακόβουλα στοιχεία του ως αρχεία στον χώρο αποθήκευσης της συσκευής, το κακόβουλο λογισμικό φορτώνει τον κώδικά του απευθείας στη μνήμη. Αυτή η τεχνική εκτέλεσης χωρίς αρχεία μειώνει σημαντικά την πιθανότητα ανίχνευσης από τα παραδοσιακά εργαλεία ασφάλειας για κινητά.

Για να αποφύγει περαιτέρω την ανάλυση, το BeatBanker ελέγχει εάν εκτελείται σε περιβάλλον δοκιμών ή έρευνας, όπως ένας εξομοιωτής ή ένα sandbox. Εάν εντοπιστούν τέτοιες συνθήκες, το κακόβουλο λογισμικό τερματίζει αμέσως τη λειτουργία του. Αυτός ο αμυντικός μηχανισμός βοηθά στην αποτροπή των ερευνητών κυβερνοασφάλειας και των αυτοματοποιημένων συστημάτων από το να αναλύσουν τη συμπεριφορά του.

Κοινωνική Μηχανική μέσω Ψεύτικων Σελίδων Google Play Store

Αφού περάσει τους ελέγχους περιβάλλοντος, το BeatBanker εμφανίζει μια πλαστή διεπαφή που μοιάζει πολύ με τη σελίδα του Google Play Store για μια εφαρμογή με την ετικέτα «INSS Reembolso», ισχυριζόμενο ψευδώς ότι απαιτείται ενημέρωση λογισμικού. Όταν ο χρήστης επιλέγει την επιλογή «Ενημέρωση», το κακόβουλο λογισμικό ζητά άδεια για την εγκατάσταση εφαρμογών και λήψεων κρυφών κακόβουλων στοιχείων.

Αντί να βασίζεται στην νόμιμη υποδομή του Google Play, το κακόβουλο λογισμικό εγκαθιστά αυτά τα στοιχεία απευθείας, κάνοντας κατάχρηση των αυξημένων δικαιωμάτων εγκατάστασης. Για να διατηρήσει την επιμονή του, το κακόβουλο λογισμικό δημιουργεί μια παραπλανητική ειδοποίηση ενημέρωσης συστήματος και εκτελεί μια υπηρεσία πρώτου πλάνου που αναπαράγει σιωπηλά πολυμέσα, εμποδίζοντας το λειτουργικό σύστημα να τερματίσει την κακόβουλη διαδικασία.

Εξόρυξη κρυπτονομισμάτων σε συσκευές θυμάτων

Ένα από τα κρυφά φορτία του BeatBanker είναι ένα εργαλείο εξόρυξης κρυπτονομισμάτων ενσωματωμένο σε ένα αρχείο που έχει ληφθεί. Αυτό το στοιχείο είναι μια τροποποιημένη έκδοση του XMRig που έχει σχεδιαστεί για να εκμεταλλεύεται τους πόρους της CPU της μολυσμένης συσκευής για την εξόρυξη κρυπτονομισμάτων για λογαριασμό των εισβολέων.

Το κακόβουλο λογισμικό διαχειρίζεται έξυπνα τη δραστηριότητα εξόρυξης παρακολουθώντας παραμέτρους συστήματος όπως το επίπεδο μπαταρίας, τη θερμοκρασία της συσκευής και τη δραστηριότητα του χρήστη. Με βάση αυτές τις συνθήκες, ο εξορύκτης μπορεί να ξεκινήσει ή να διακόψει αυτόματα τη λειτουργία του για να μειώσει τις υποψίες και να παρατείνει τη μόλυνση.

Τραπεζικά Trojan και Μηχανισμοί Κλοπής Κρυπτονομισμάτων

Παράλληλα με την ικανότητα εξόρυξης κρυπτονομισμάτων, το BeatBanker αναπτύσσει ένα τραπεζικό Trojan που επιχειρεί να αποκτήσει δικαιώματα προσβασιμότητας. Η χορήγηση αυτών των δικαιωμάτων επιτρέπει στους εισβολείς να ελέγχουν τη διεπαφή της συσκευής και να παρακολουθούν τις αλληλεπιδράσεις των χρηστών.

Το κακόβουλο λογισμικό παρακολουθεί ενεργά ποιες εφαρμογές ανοίγονται και στοχεύει συγκεκριμένα σε πλατφόρμες κρυπτονομισμάτων όπως το Binance και το Trust Wallet, με ιδιαίτερη έμφαση στις συναλλαγές USDT. Όταν ένα θύμα ξεκινά μια μεταφορά, το BeatBanker επικαλύπτει τη νόμιμη διεπαφή συναλλαγής με μια δόλια οθόνη. Κατά τη διάρκεια αυτής της διαδικασίας, το κακόβουλο λογισμικό αντικαθιστά σιωπηλά τη διεύθυνση του προοριζόμενου παραλήπτη με μια διεύθυνση που ελέγχεται από τους εισβολείς, προκαλώντας την ανακατεύθυνση των χρημάτων χωρίς να το γνωρίζει το θύμα.

Η ενότητα τραπεζικών συναλλαγών αξιολογεί επίσης την παρουσία αρκετών συχνά χρησιμοποιούμενων προγραμμάτων περιήγησης για κινητά και συλλέγει πληροφορίες περιήγησης. Μπορεί να χειραγωγήσει αποθηκευμένους συνδέσμους εντός του προεπιλεγμένου προγράμματος περιήγησης προσθέτοντας, επεξεργάζοντας, διαγράφοντας ή καταχωρίζοντας καταχωρίσεις και μπορεί να ανοίξει διευθύνσεις URL που παρέχονται από εισβολείς.

Δυνατότητες Διοίκησης και Ελέγχου και Χειρισμός Συσκευών

Το BeatBanker επικοινωνεί με έναν διακομιστή εντολών και ελέγχου (C2), επιτρέποντας στους εισβολείς να διαχειρίζονται εξ αποστάσεως μολυσμένες συσκευές και να εκδίδουν εντολές. Μέσω αυτής της υποδομής, το κακόβουλο λογισμικό μπορεί να εκτελέσει ένα ευρύ φάσμα κακόβουλων ενεργειών, όπως η εμφάνιση ψεύτικων ενημερώσεων συστήματος, το κλείδωμα της οθόνης της συσκευής, η εξαγωγή περιεχομένου από το πρόχειρο και η μετάδοση ηχητικών εγγραφών σε απειλητικούς παράγοντες.

Πρόσθετες δυνατότητες περιλαμβάνουν τη δυνατότητα αποστολής μηνυμάτων SMS, ανοίγματος συνδέσμων που ελέγχονται από εισβολείς σε προγράμματα περιήγησης, ενημέρωσης αποθηκευμένων διαπιστευτηρίων και καταγραφής αρχείων που είναι αποθηκευμένα στη συσκευή. Το κακόβουλο λογισμικό μπορεί επίσης να εκτελέσει καταστροφικές ενέργειες, όπως διαγραφή αρχείων, εκκίνηση επαναφοράς εργοστασιακών ρυθμίσεων ή απεγκατάσταση του εαυτού του για την αφαίρεση ιχνών μετά την ολοκλήρωση μιας λειτουργίας.

Λειτουργίες επιτήρησης και εξαγωγής δεδομένων

Πέρα από την οικονομική κλοπή, το BeatBanker λειτουργεί ως ένα εκτεταμένο εργαλείο επιτήρησης. Είναι ικανό να καταγράφει πληκτρολογήσεις, να εξάγει κείμενο που εμφανίζεται στην οθόνη, να καταγράφει στιγμιότυπα οθόνης και να μεταδίδει την οθόνη της συσκευής σε πραγματικό χρόνο. Η συνεχής παρακολούθηση των εφαρμογών που εκτελούνται επιτρέπει στους εισβολείς να παρατηρούν τη συμπεριφορά των χρηστών και να συλλέγουν ευαίσθητες πληροφορίες.

Το κακόβουλο λογισμικό περιέχει επίσης πρόσθετους μηχανισμούς ελέγχου συσκευών, όπως παρακολούθηση εφαρμογών, ενσωματωμένο τείχος προστασίας που μπορεί να αποκλείσει ή να επιτρέψει επιλεγμένες εφαρμογές, μόνιμη δημιουργία ειδοποιήσεων και τη δυνατότητα διαχείρισης συνδέσεων VPN.

Μηχανισμοί κατάχρησης δικαιωμάτων και επιμονής

Το BeatBanker βασίζεται σε μεγάλο βαθμό σε δικαιώματα Android υψηλού κινδύνου που επεκτείνουν σημαντικά τον έλεγχό του στη συσκευή. Αυτά τα δικαιώματα επιτρέπουν στο κακόβουλο λογισμικό να διατηρεί την επιμονή του, να αυτοματοποιεί ενέργειες και να εκτελεί εντολές χωρίς να το αντιλαμβάνεται ο χρήστης.

Οι βασικές δυνατότητες που ενεργοποιούνται από αυτά τα δικαιώματα περιλαμβάνουν:

  • Πρόσβαση προσβασιμότητας, επιτρέποντας αυτοματοποιημένα πατήματα, σαρώσεις και χειρισμό διεπαφής
  • Δικαιώματα επικάλυψης που επιτρέπουν την εμφάνιση ψεύτικων οθονών πάνω από νόμιμες εφαρμογές
  • Άδεια εγκατάστασης εφαρμογών από άγνωστες πηγές, επιτρέποντας την αθόρυβη εγκατάσταση πρόσθετων κακόβουλων στοιχείων
  • Η δυνατότητα ανοίγματος συνδέσμων, εκτέλεσης κωδικών USSD και ανάπτυξης περαιτέρω πακέτων κακόβουλου λογισμικού

Αυτά τα προνόμια μετατρέπουν τη μολυσμένη συσκευή σε μια πλατφόρμα που ελέγχεται εξ αποστάσεως, ικανή να εκτελεί πολύπλοκες κακόβουλες λειτουργίες.

Αναδυόμενη παραλλαγή μεταμφιεσμένη ως εφαρμογή StarLink

Ερευνητές ασφαλείας εντόπισαν μια νεότερη παραλλαγή του BeatBanker που μεταμφιέζεται σε ψεύτικη εφαρμογή StarLink που στοχεύει χρήστες Android. Σε αντίθεση με τις προηγούμενες εκδόσεις, αυτή η παραλλαγή δεν εγκαθιστά το παραδοσιακό στοιχείο του τραπεζικού Trojan.

Αντ' αυτού, αναπτύσσει το RAT (Remote Administration Trojan) του BTMOB. Το BTMOB παρέχει στους εισβολείς πλήρη απομακρυσμένη πρόσβαση σε παραβιασμένες συσκευές και διανέμεται ως Malware-as-a-Service (MaaS), επιτρέποντας στους κυβερνοεγκληματίες να αγοράσουν και να αναπτύξουν το εργαλείο χωρίς να αναπτύξουν τη δική τους υποδομή κακόβουλου λογισμικού.

Φορέας Λοίμωξης και Επιχειρησιακός Αντίκτυπος

Οι μολύνσεις από το BeatBanker συνήθως ξεκινούν με μια καμπάνια ηλεκτρονικού "ψαρέματος" (phishing) που κατευθύνει τα θύματα σε δόλιες ιστοσελίδες που έχουν σχεδιαστεί για να μοιάζουν με το επίσημο Google Play Store. Οι χρήστες πείθονται να κατεβάσουν κακόβουλες εφαρμογές που παρουσιάζονται ως κυβερνητικές υπηρεσίες, όπως το "INSS Reembolso" ή παρόμοιες ψεύτικες εφαρμογές κοινής ωφέλειας.

Μια συσκευή παραβιάζεται μόλις το θύμα εγκαταστήσει την πλαστή εφαρμογή. Μετά την ενεργοποίηση, το BeatBanker ανακτά πρόσθετα στοιχεία, συμπεριλαμβανομένου του εξορύκτη κρυπτονομισμάτων, και δημιουργεί μόνιμη πρόσβαση στη συσκευή.

Οι συνδυασμένες δυνατότητες του κακόβουλου λογισμικού επιτρέπουν στους εισβολείς να εξορύσσουν κρυπτονομίσματα, να κλέβουν οικονομικά δεδομένα, να χειραγωγούν συναλλαγές και να διατηρούν απομακρυσμένο έλεγχο σε μολυσμένες συσκευές. Ορισμένες παραλλαγές αναπτύσσουν επίσης πρόσθετο κακόβουλο λογισμικό, όπως το BTMOB, παρέχοντας στους αντιπάλους παρατεταμένη και απεριόριστη πρόσβαση σε παραβιασμένα συστήματα.

Τάσεις

Περισσότερες εμφανίσεις

Φόρτωση...