Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Mobiilne pahavara BeatBanker pangandustroojalane

BeatBanker pangandustroojalane

Aastaks Mezo aastal Mobiilne pahavara, Pangandus troojalane
Tõlgi:

BeatBanker on keerukas Androidi pahavara, mida levitatakse petturlike veebisaitide kaudu, mille eesmärk on jäljendada Google Play poodi. Pahatahtlik kampaania petab kasutajaid alla laadima rakendusi, mis näivad olevat legaalsed, kuid tegelikult pakuvad võimsat pangandustroojalast koos krüptovaluuta kaevandamise võimalustega. Pärast installimist saab pahavara nakatunud seadme kaaperdada, kasutajaliideseid manipuleerida ja volitamata finantstehinguid teha. Ohu tuvastamisel on oluline see kohe eemaldada, kuna edasine tegevus võib põhjustada rahalist kahju, privaatsuse rikkumist ja pikaajalist seadme ohtu.

Failita täitmise ja analüüsivastased tehnikad

Käivitamisel alustab BeatBanker olulise võrguteabe kogumist, sealhulgas seadme IP-aadressi, seadme tüübi, VPN-i kasutusoleku ja seotud ühenduvuse üksikasjade salvestamist. Pahatahtlike komponentide failidena seadme salvestusruumi salvestamise asemel laadib pahavara oma koodi otse mällu. See failideta käivitustehnika vähendab oluliselt traditsiooniliste mobiilsete turvatööriistade abil tuvastamise tõenäosust.

Analüüsi edasiseks vältimiseks kontrollib BeatBanker, kas see töötab testimis- või uurimiskeskkonnas, näiteks emulaatoris või liivakastis. Selliste tingimuste tuvastamisel lõpetab pahavara kohe oma töö. See kaitsemehhanism aitab takistada küberturvalisuse uurijatel ja automatiseeritud süsteemidel selle käitumise analüüsimist.

Sotsiaalne manipuleerimine võltsitud Google Play poe lehtede kaudu

Pärast keskkonnakontrollide läbimist kuvab BeatBanker võltsitud liidese, mis sarnaneb Google Play poe lehega ja millel on märge „INSS Reembolso“, väites valesti, et tarkvaravärskendus on vajalik. Kui kasutaja valib suvandi „Värskenda“, küsib pahavara luba rakenduste installimiseks ja laadib alla varjatud pahatahtlikke komponente.

Selle asemel, et tugineda legitiimsele Google Play infrastruktuurile, installib pahavara need komponendid otse, kuritarvitades kõrgendatud installiõigusi. Püsivuse säilitamiseks genereerib pahavara petliku süsteemivärskenduse teate ja käivitab esiplaanil teenuse, mis esitab vaikselt meediat, takistades operatsioonisüsteemil pahatahtliku protsessi lõpetamist.

Krüptovaluuta kaevandamine ohvrite seadmetes

Üks BeatBankeri peidetud kasulikest komponentidest on allalaaditud faili sisse põimitud krüptovaluuta kaevandaja. See komponent on XMRigi modifitseeritud versioon, mis on loodud ründajate nimel nakatunud seadme protsessoriressursside ärakasutamiseks krüptovaluuta kaevandamiseks.

Pahavara haldab kaevandamist nutikalt, jälgides süsteemi parameetreid, nagu aku tase, seadme temperatuur ja kasutaja aktiivsus. Nende tingimuste põhjal saab kaevandaja oma tegevuse automaatselt käivitada või peatada, et vähendada kahtlust ja pikendada nakatumist.

Pangandustrooja ja krüptovaluuta vargusmehhanismid

Lisaks krüptokaevandamise võimekusele kasutab BeatBanker pangandustroojalast, mis üritab hankida ligipääsetavuse õigusi. Nende lubade andmine võimaldab ründajatel kontrollida seadme liidest ja jälgida kasutajate tegevust.

Pahavara jälgib aktiivselt, milliseid rakendusi avatakse, ja on suunatud krüptovaluutaplatvormidele nagu Binance ja Trust Wallet, keskendudes eelkõige USDT tehingutele. Kui ohver algatab ülekande, kuvab BeatBanker legitiimse tehingu liidese petturliku ekraaniga. Selle protsessi käigus asendab pahavara märkamatult kavandatud saaja aadressi ründajate kontrolli all oleva aadressiga, mille tulemusel suunatakse raha ümber ohvri teadmata.

Pangandusmoodul hindab ka mitmete levinud mobiilibrauserite olemasolu ja kogub sirvimisteavet. See saab vaikebrauseris salvestatud linke manipuleerida kirjeid lisades, muutes, kustutades või loetledes ning avada ründaja esitatud URL-e.

Juhtimis- ja juhtimisvõimalused ning seadmete manipuleerimine

BeatBanker suhtleb käsklus- ja kontrollserveriga (C2), võimaldades ründajatel nakatunud seadmeid eemalt hallata ja käske anda. Selle infrastruktuuri kaudu saab pahavara teostada mitmesuguseid pahatahtlikke toiminguid, sealhulgas võltsitud süsteemivärskenduste kuvamist, seadme ekraani lukustamist, lõikelaua sisu väljavõtmist ja helisalvestiste edastamist ründajatele.

Lisavõimaluste hulka kuuluvad SMS-sõnumite saatmine, ründaja kontrollitud linkide avamine brauserites, salvestatud mandaatide värskendamine ja seadmesse salvestatud failide loetlemine. Pahavara saab pärast toimingu lõpetamist teha ka hävitavaid toiminguid, näiteks failide kustutamine, tehaseseadete lähtestamine või enda desinstallimine jälgede eemaldamiseks.

Järelevalve ja andmete väljafiltreerimise funktsioonid

Lisaks finantsvargustele toimib BeatBanker ulatusliku jälgimisvahendina. See suudab salvestada klahvivajutusi, ekstraheerida ekraanil kuvatavat teksti, jäädvustada ekraanipilte ja voogedastada seadme ekraani reaalajas. Töötavate rakenduste pidev jälgimine võimaldab ründajatel jälgida kasutajate käitumist ja koguda tundlikku teavet.

Pahavara sisaldab ka täiendavaid seadmekontrolli mehhanisme, sealhulgas rakenduste jälgimist, sisseehitatud tulemüüri, mis saab valitud rakendusi blokeerida või lubada, püsivate teavituste loomist ja VPN-ühenduste haldamise võimalust.

Lubade kuritarvitamine ja püsivuse mehhanismid

BeatBanker tugineb suuresti kõrge riskiga Androidi õigustele, mis laiendavad oluliselt selle kontrolli seadme üle. Need õigused võimaldavad pahavaral säilitada püsivust, automatiseerida toiminguid ja käivitada käske kasutaja teadmata.

Nende lubadega kaasnevad peamised võimalused on järgmised:

  • Ligipääsetavus, mis võimaldab automaatseid puudutusi, pühkimisi ja liidese manipuleerimist
  • Ülekatteõigused, mis võimaldavad võltsitud ekraanide kuvamist õigustatud rakenduste peal
  • Luba installida rakendusi tundmatutest allikatest, võimaldades täiendavate pahatahtlike komponentide vaikset installimist
  • Võimalus avada linke, käivitada USSD-koode ja levitada täiendavaid pahavarapakette

Need õigused muudavad nakatunud seadme kaugjuhtimisega platvormiks, mis on võimeline teostama keerukaid pahatahtlikke toiminguid.

StarLinki rakenduseks maskeeritud tekkiv variant

Turvauurijad on tuvastanud BeatBankeri uuema variandi, mis maskeerub võltsitud StarLinki rakenduseks, mis on suunatud Androidi kasutajatele. Erinevalt varasematest versioonidest ei installi see variant traditsioonilist pangandustrooja komponenti.

Selle asemel juurutab see BTMOB kaughalduse troojalase (RAT). BTMOB annab ründajatele täieliku kaugjuurdepääsu ohustatud seadmetele ja seda levitatakse teenusena „MaaS“ (Maaware-as-a-Service), mis võimaldab küberkurjategijatel tööriista osta ja juurutada ilma oma pahavara infrastruktuuri arendamata.

Nakkusvektor ja operatiivne mõju

BeatBankeri nakatumine algab tavaliselt andmepüügikampaaniaga, mis suunab ohvrid petturlikele veebisaitidele, mis on loodud meenutama ametlikku Google Play poodi. Kasutajaid veendakse alla laadima pahatahtlikke rakendusi, mis teesklevad end valitsusega seotud teenustena, näiteks „INSS Reembolso” või sarnaseid võltsitud utiliitrakendusi.

Seade satub ohtu, kui ohver installib võltsitud rakenduse. Pärast aktiveerimist hangib BeatBanker lisakomponente, sealhulgas krüptovaluuta kaevandaja, ja loob seadmele püsiva juurdepääsu.

Pahavara kombineeritud võimed võimaldavad ründajatel krüptovaluutat kaevandada, finantsandmeid varastada, tehinguid manipuleerida ja nakatunud seadmete üle kaugjuhtimise teel kontrollida. Mõned variandid juurutavad ka täiendavat pahavara, näiteks BTMOB-i, mis annab vastastele pikaajalise ja piiramatu juurdepääsu ohustatud süsteemidele.

Trendikas

Enim vaadatud

Laadimine...