Ponuda s popustom na više licenci
Baza prijetnji Mobilni malware BeatBanker bankarski trojanac

BeatBanker bankarski trojanac

Do Mezo. Mobilni malware, Bankarski trojanac. godine
Prevedi na:

BeatBanker je sofisticirani Android zlonamjerni softver koji se distribuira putem lažnih web stranica osmišljenih da imitiraju Google Play trgovinu. Zlonamjerna kampanja obmanjuje korisnike da preuzmu aplikacije koje izgledaju legitimno, ali zapravo isporučuju moćnog bankarskog trojanca u kombinaciji s mogućnostima rudarenja kriptovaluta. Nakon instalacije, zlonamjerni softver može oteti zaraženi uređaj, manipulirati korisničkim sučeljima i obavljati neovlaštene financijske transakcije. Hitno uklanjanje je ključno kada se otkrije prijetnja, jer nastavak rada može rezultirati financijskim gubicima, kršenjem privatnosti i dugoročnim kompromitiranjem uređaja.

Tehnike izvršavanja bez datoteka i anti-analize

Nakon izvršavanja, BeatBanker započinje prikupljanjem bitnih mrežnih informacija, uključujući IP adresu uređaja, vrstu uređaja, status korištenja VPN-a i povezane detalje o povezivosti. Umjesto pohranjivanja svojih zlonamjernih komponenti kao datoteka na pohrani uređaja, zlonamjerni softver učitava svoj kod izravno u memoriju. Ova tehnika izvršavanja bez datoteka značajno smanjuje vjerojatnost otkrivanja tradicionalnim alatima za mobilnu sigurnost.

Kako bi dodatno izbjegao analizu, BeatBanker provjerava radi li unutar testnog ili istraživačkog okruženja, poput emulatora ili sandboxa. Ako se otkriju takvi uvjeti, zlonamjerni softver odmah prekida svoj rad. Ovaj obrambeni mehanizam pomaže u sprječavanju istraživača kibernetičke sigurnosti i automatiziranih sustava da analiziraju njegovo ponašanje.

Društveni inženjering putem lažnih stranica trgovine Google Play

Nakon što prođe provjere okruženja, BeatBanker prikazuje krivotvoreno sučelje koje jako nalikuje stranici Trgovine Google Play za aplikaciju s oznakom 'INSS Reembolso', lažno tvrdeći da je potrebno ažuriranje softvera. Kada korisnik odabere opciju 'Ažuriraj', zlonamjerni softver traži dopuštenje za instaliranje aplikacija i preuzima skrivene zlonamjerne komponente.

Umjesto oslanjanja na legitimnu infrastrukturu Google Playa, zlonamjerni softver instalira te komponente izravno zloupotrebljavajući povišene dozvole za instalaciju. Kako bi održao postojanost, zlonamjerni softver generira lažnu obavijest o ažuriranju sustava i pokreće uslugu u prvom planu koja tiho reproducira medije, sprječavajući operativni sustav da prekine zlonamjerni proces.

Rudarenje kriptovaluta na uređajima žrtve

Jedan od skrivenih sadržaja BeatBankera je rudar kriptovaluta ugrađen u preuzetu datoteku. Ova komponenta je modificirana verzija XMRiga dizajnirana za iskorištavanje CPU resursa zaraženog uređaja za rudarenje kriptovaluta u ime napadača.

Zlonamjerni softver inteligentno upravlja aktivnostima rudarenja praćenjem parametara sustava kao što su razina baterije, temperatura uređaja i aktivnost korisnika. Na temelju tih uvjeta, rudar može automatski pokrenuti ili pauzirati svoj rad kako bi smanjio sumnju i produžio infekciju.

Mehanizmi krađe bankarskih trojanaca i kriptovaluta

Uz mogućnost rudarenja kriptovaluta, BeatBanker koristi bankarskog trojanca koji pokušava dobiti dozvole za pristup. Odobravanje tih dozvola omogućuje napadačima kontrolu nad sučeljem uređaja i praćenje interakcija korisnika.

Zlonamjerni softver aktivno prati koje se aplikacije otvaraju i posebno cilja platforme za kriptovalute poput Binancea i Trust Walleta, s posebnim naglaskom na USDT transakcije. Kada žrtva pokrene transfer, BeatBanker prekriva legitimno sučelje transakcije lažnim zaslonom. Tijekom ovog procesa, zlonamjerni softver tiho zamjenjuje namjeravanu adresu primatelja adresom koju kontroliraju napadači, uzrokujući preusmjeravanje sredstava bez znanja žrtve.

Bankarski modul također procjenjuje prisutnost nekoliko često korištenih mobilnih preglednika i prikuplja podatke o pregledavanju. Može manipulirati spremljenim vezama unutar zadanog preglednika dodavanjem, uređivanjem, brisanjem ili navođenjem unosa, a može i otvarati URL-ove koje je naveo napadač.

Mogućnosti upravljanja i kontrole te manipulacija uređajima

BeatBanker komunicira s komandno-kontrolnim (C2) poslužiteljem, omogućujući napadačima daljinsko upravljanje zaraženim uređajima i izdavanje naredbi. Putem ove infrastrukture, zlonamjerni softver može izvršavati širok raspon zlonamjernih radnji, uključujući prikazivanje lažnih ažuriranja sustava, zaključavanje zaslona uređaja, izdvajanje sadržaja međuspremnika i slanje audio snimaka prijetnjama.

Dodatne mogućnosti uključuju slanje SMS poruka, otvaranje poveznica u preglednicima kojima upravljaju napadači, ažuriranje pohranjenih vjerodajnica i popisivanje datoteka pohranjenih na uređaju. Zlonamjerni softver također može izvoditi destruktivne radnje poput brisanja datoteka, pokretanja vraćanja na tvorničke postavke ili deinstaliranja radi uklanjanja tragova nakon dovršetka operacije.

Značajke nadzora i ekstrakcije podataka

Osim financijske krađe, BeatBanker funkcionira kao opsežan alat za nadzor. Sposoban je snimati pritiske tipki, izdvajati tekst prikazan na zaslonu, snimati snimke zaslona i strujati zaslon uređaja u stvarnom vremenu. Kontinuirano praćenje pokrenutih aplikacija omogućuje napadačima promatranje ponašanja korisnika i prikupljanje osjetljivih informacija.

Zlonamjerni softver također sadrži dodatne mehanizme za kontrolu uređaja, uključujući nadzor aplikacija, ugrađeni vatrozid koji može blokirati ili dopustiti odabrane aplikacije, stvaranje trajnih obavijesti i mogućnost upravljanja VPN vezama.

Zlouporaba dozvola i mehanizmi trajnosti

BeatBanker se uvelike oslanja na visokorizične Android dozvole koje značajno proširuju njegovu kontrolu nad uređajem. Ove dozvole omogućuju zlonamjernom softveru održavanje postojanosti, automatizaciju radnji i izvršavanje naredbi bez znanja korisnika.

Ključne mogućnosti koje omogućuju ova dopuštenja uključuju:

  • Pristup pristupačnosti, koji omogućuje automatizirane dodire, prelaske prstom i manipulaciju sučeljem
  • Dozvole za prekrivanje koje omogućuju prikazivanje lažnih zaslona preko legitimnih aplikacija
  • Dozvola za instaliranje aplikacija iz nepoznatih izvora, što omogućuje tihu instalaciju dodatnih zlonamjernih komponenti
  • Mogućnost otvaranja poveznica, izvršavanja USSD kodova i implementacije dodatnih zlonamjernih paketa

Te privilegije pretvaraju zaraženi uređaj u daljinski upravljanu platformu sposobnu za izvršavanje složenih zlonamjernih operacija.

Nova varijanta prikrivena kao StarLink aplikacija

Sigurnosni istraživači identificirali su noviju varijantu BeatBankera koja se maskira kao lažna StarLink aplikacija usmjerena na korisnike Androida. Za razliku od ranijih verzija, ova varijanta ne instalira tradicionalnu komponentu bankarskog trojanca.

Umjesto toga, koristi BTMOB trojanca za udaljenu administraciju (RAT). BTMOB napadačima omogućuje potpuni udaljeni pristup kompromitiranim uređajima i distribuira se kao Malware-as-a-Service (MaaS), što omogućuje kibernetičkim kriminalcima kupnju i primjenu alata bez razvoja vlastite infrastrukture zlonamjernog softvera.

Vektor infekcije i operativni utjecaj

Infekcije BeatBankerom obično počinju phishing kampanjom koja usmjerava žrtve na lažne web stranice dizajnirane da nalikuju službenoj Google Play trgovini. Korisnici se nagovaraju da preuzmu zlonamjerne aplikacije koje se predstavljaju kao vladine usluge poput 'INSS Reembolso' ili sličnih lažnih uslužnih programa.

Uređaj postaje kompromitiran nakon što žrtva instalira krivotvorenu aplikaciju. Nakon aktivacije, BeatBanker dohvaća dodatne komponente, uključujući rudar kriptovaluta, i uspostavlja trajni pristup uređaju.

Kombinirane mogućnosti zlonamjernog softvera omogućuju napadačima rudarenje kriptovaluta, krađu financijskih podataka, manipuliranje transakcijama i održavanje daljinske kontrole nad zaraženim uređajima. Neke varijante također koriste dodatni zlonamjerni softver poput BTMOB-a, dajući protivnicima produljeni i neograničeni pristup kompromitiranim sustavima.

U trendu

Nagledanije

Učitavam...