הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית לנייד טרויאן בנקאי BeatBanker

טרויאן בנקאי BeatBanker

עד Mezo ב-תוכנה זדונית לנייד, טרויאני בנקאי
לתרגם ל:

BeatBanker היא נוזקה מתוחכמת לאנדרואיד המופצת דרך אתרי אינטרנט הונאה שנועדו לחקות את חנות Google Play. הקמפיין הזדוני מטעה משתמשים להוריד אפליקציות שנראות לגיטימיות אך למעשה מספקות סוס טרויאני בנקאי רב עוצמה בשילוב עם יכולות כריית קריפטוגרפיה. לאחר ההתקנה, הנוזקה יכולה לחטוף את המכשיר הנגוע, לתמרן ממשקי משתמש ולבצע עסקאות פיננסיות לא מורשות. הסרה מיידית חיונית כאשר מתגלה האיום, שכן המשך הפעולה עלול לגרום להפסדים כספיים, הפרות פרטיות ופגיעה במכשיר לטווח ארוך.

טכניקות ביצוע ואנטי-אנליזה ללא קבצים

לאחר ההפעלה, BeatBanker מתחיל באיסוף מידע רשת חיוני, כולל כתובת ה-IP של המכשיר, סוג המכשיר, מצב השימוש ב-VPN ופרטי קישוריות קשורים. במקום לאחסן את הרכיבים הזדוניים שלו כקבצים באחסון המכשיר, הנוזקה טוענת את הקוד שלה ישירות לזיכרון. טכניקת ביצוע ללא קבצים זו מפחיתה משמעותית את הסבירות לגילוי על ידי כלי אבטחה ניידים מסורתיים.

כדי להתחמק עוד יותר מניתוח, BeatBanker בודק האם הוא פועל בסביבת בדיקה או מחקר, כגון אמולטור או ארגז חול. אם מתגלים תנאים כאלה, התוכנה הזדונית מפסיקה את פעולתה באופן מיידי. מנגנון הגנה זה מסייע במניעת חוקרי אבטחת סייבר ומערכות אוטומטיות לנתח את התנהגותה.

הנדסה חברתית באמצעות דפי חנות גוגל פליי מזויפים

לאחר שעבר את בדיקות הסביבה שלו, BeatBanker מציג ממשק מזויף הדומה מאוד לדף חנות Google Play עבור אפליקציה שכותרתה 'INSS Reembolso', בטענה כוזבת כי נדרש עדכון תוכנה. כאשר המשתמש בוחר באפשרות 'עדכון', התוכנה הזדונית מבקשת אישור להתקין אפליקציות ומורידה רכיבים זדוניים מוסתרים.

במקום להסתמך על התשתית הלגיטימית של Google Play, התוכנה הזדונית מתקינה את הרכיבים הללו ישירות על ידי ניצול לרעה של הרשאות התקנה מוגברות. כדי לשמור על עמידות, התוכנה הזדונית מייצרת הודעת עדכון מערכת מטעה ומפעילה שירות בחזית שמנגן מדיה בשקט, ומונע ממערכת ההפעלה לסיים את התהליך הזדוני.

כריית מטבעות קריפטוגרפיים במכשירים של הקורבן

אחד המטענים הנסתרים של BeatBanker הוא כורה מטבעות קריפטוגרפיים המוטמע בתוך קובץ שהורד. רכיב זה הוא גרסה שונה של XMRig שנועדה לנצל את משאבי המעבד של המכשיר הנגוע כדי לכרות מטבעות קריפטוגרפיים עבור התוקפים.

הנוזקה מנהלת באופן חכם את פעילות הכרייה על ידי ניטור פרמטרים של המערכת כגון רמת סוללה, טמפרטורת המכשיר ופעילות המשתמש. בהתבסס על תנאים אלה, הכורה יכול להפעיל או להשהות את פעולתו באופן אוטומטי כדי להפחית את החשד ולהאריך את משך ההדבקה.

מנגנוני גניבת טרויאנים בנקאיים ומטבעות קריפטוגרפיים

לצד יכולת כריית הקריפטו, BeatBanker פורס סוס טרויאני בנקאי שמנסה להשיג הרשאות נגישות. מתן הרשאות אלו מאפשר לתוקפים לשלוט בממשק המכשיר ולנטר אינטראקציות של המשתמש.

הנוזקה עוקבת באופן פעיל אחר היישומים הפתוחים ומכוונת ספציפית לפלטפורמות קריפטוגרפיות כמו Binance ו-Trust Wallet, עם דגש מיוחד על עסקאות USDT. כאשר קורבן יוזם העברה, BeatBanker מציב מסך הונאה על ממשק העסקה הלגיטימי. במהלך תהליך זה, הנוזקה מחליפה בשקט את כתובת הנמען המיועדת בכתובת הנשלטת על ידי התוקפים, מה שגורם לכספים להיות מנותבים ללא מודעותו של הקורבן.

מודול הבנקאות מעריך גם את נוכחותם של מספר דפדפנים ניידים נפוצים ואוסף מידע גלישה. הוא יכול לתפעל קישורים שנשמרו בדפדפן ברירת המחדל על ידי הוספה, עריכה, מחיקה או רישום של ערכים, והוא יכול לפתוח כתובות URL שסופקו על ידי התוקפים.

יכולות פיקוד ובקרה ומניפולציה של מכשירים

BeatBanker מתקשר עם שרת פקודה ובקרה (C2), ומאפשר לתוקפים לנהל מרחוק מכשירים נגועים ולשלוח פקודות. באמצעות תשתית זו, התוכנה הזדונית יכולה לבצע מגוון רחב של פעולות זדוניות, כולל הצגת עדכוני מערכת מזויפים, נעילת מסך המכשיר, חילוץ תוכן מלוח הגזירים ושידור הקלטות שמע לגורמי איום.

יכולות נוספות כוללות את היכולת לשלוח הודעות SMS, לפתוח קישורים הנשלטים על ידי תוקפים בדפדפנים, לעדכן אישורים מאוחסנים ולפרט קבצים המאוחסנים במכשיר. התוכנה הזדונית יכולה גם לבצע פעולות הרסניות כגון מחיקת קבצים, איפוס להגדרות יצרן או הסרת ההתקנה של עצמה כדי להסיר עקבות לאחר השלמת פעולה.

תכונות מעקב וסילוק נתונים

מעבר לגניבה פיננסית, BeatBanker מתפקד ככלי מעקב נרחב. הוא מסוגל להקליט הקשות מקלדת, לחלץ טקסט המוצג על המסך, ללכוד צילומי מסך ולהזרים את מסך המכשיר בזמן אמת. ניטור מתמשך של יישומים פועלים מאפשר לתוקפים לצפות בהתנהגות המשתמש ולאסוף מידע רגיש.

התוכנה הזדונית מכילה גם מנגנוני בקרת מכשירים נוספים, כולל ניטור יישומים, חומת אש מובנית שיכולה לחסום או לאפשר אפליקציות נבחרות, יצירת התראות מתמשכות ויכולת לנהל חיבורי VPN.

מנגנוני ניצול לרעה של הרשאות והתמדה

BeatBanker מסתמך במידה רבה על הרשאות אנדרואיד בעלות סיכון גבוה, אשר מרחיבות משמעותית את שליטתו על המכשיר. הרשאות אלו מאפשרות לתוכנה הזדונית לשמור על עמידות, להפוך פעולות לאוטומטיות ולבצע פקודות ללא מודעות המשתמש.

יכולות מפתח המופעלות על ידי הרשאות אלה כוללות:

  • גישת נגישות, המאפשרת הנקות, החלקות וטיפול בממשק אוטומטיים
  • הרשאות שכבת-על המאפשרות להופיע מסכים מזויפים מעל אפליקציות לגיטימיות
  • הרשאה להתקנת יישומים ממקורות לא ידועים, מה שמאפשר התקנה שקטה של רכיבים זדוניים נוספים
  • היכולת לפתוח קישורים, לבצע קודי USSD ולפרוס חבילות תוכנות זדוניות נוספות

הרשאות אלו הופכות את המכשיר הנגוע לפלטפורמה הנשלטת מרחוק המסוגלת לבצע פעולות זדוניות מורכבות.

גרסה מתפתחת במסווה של אפליקציית StarLink

חוקרי אבטחה זיהו גרסה חדשה יותר של BeatBanker שמתחזה לאפליקציית StarLink מזויפת המכוונה למשתמשי אנדרואיד. בניגוד לגרסאות קודמות, גרסה זו אינה מתקינה את רכיב הטרויאני הבנקאי המסורתי.

במקום זאת, היא פורסת את סוס טרויאני ניהול מרחוק (RAT) של BTMOB. BTMOB מעניק לתוקפים גישה מרחוק מלאה למכשירים שנפרצו ומופץ כ-Malware-as-a-Service (MaaS), מה שמאפשר לפושעי סייבר לרכוש ולפרוס את הכלי מבלי לפתח תשתית תוכנה זדונית משלהם.

וקטור זיהום והשפעה תפעולית

הדבקות ב-BeatBanker מתחילות בדרך כלל בקמפיין פישינג שמפנה את הקורבנות לאתרי אינטרנט הונאה שנועדו להידמות לחנות Google Play הרשמית. משתמשים משוכנעים להוריד אפליקציות זדוניות המתחזות לשירותים ממשלתיים כגון 'INSS Reembolso' או אפליקציות שירות מזויפות דומות.

מכשיר נפרץ לאחר שהקורבן מתקין את האפליקציה המזויפת. לאחר ההפעלה, BeatBanker מאחזר רכיבים נוספים, כולל כורה מטבעות קריפטוגרפיים, ויוצר גישה מתמשכת למכשיר.

היכולות המשולבות של הנוזקה מאפשרות לתוקפים לכרות מטבעות קריפטוגרפיים, לגנוב נתונים פיננסיים, לתפעל עסקאות ולשמור על שליטה מרחוק על מכשירים נגועים. גרסאות מסוימות גם פורסות נוזקות נוספות כמו BTMOB, המעניקות ליריבים גישה ממושכת ובלתי מוגבלת למערכות שנפרצו.

מגמות

הכי נצפה

טוען...