BeatBanker banki trójai vírus

Mezo -ra Mobil rosszindulatú program, Banki trójai-ben

Fordítás ide:

A BeatBanker egy kifinomult Android kártevő, amelyet csalárd weboldalakon keresztül terjesztenek, és amelyek célja a Google Play Áruház utánzása. A rosszindulatú kampány megtéveszti a felhasználókat, hogy olyan alkalmazásokat töltsenek le, amelyek legitimnek tűnnek, de valójában egy hatékony banki trójai vírust tartalmaznak, amely kriptovaluta-bányászati képességekkel is rendelkezik. A telepítés után a kártevő képes eltéríteni a fertőzött eszközt, manipulálni a felhasználói felületeket és jogosulatlan pénzügyi tranzakciókat végrehajtani. A fenyegetés észlelése után elengedhetetlen az azonnali eltávolítás, mivel a további működés pénzügyi veszteségeket, adatvédelmi jogsértéseket és hosszú távú eszközbiztonsági problémákat okozhat.

Tartalomjegyzék

Fájl nélküli végrehajtás és anti-analízis technikák

Végrehajtáskor a BeatBanker alapvető hálózati információkat gyűjt, beleértve az eszköz IP-címét, típusát, VPN-használati állapotát és a kapcsolódó csatlakozási adatokat. A rosszindulatú program a rosszindulatú összetevőket nem fájlokként tárolja az eszköz tárhelyén, hanem közvetlenül a memóriába tölti be a kódját. Ez a fájl nélküli végrehajtási technika jelentősen csökkenti a hagyományos mobilbiztonsági eszközök általi észlelés valószínűségét.

Az elemzés további elkerülése érdekében a BeatBanker ellenőrzi, hogy tesztelési vagy kutatási környezetben, például emulátorban vagy sandboxban fut-e. Ha ilyen feltételeket észlel, a rosszindulatú program azonnal leállítja működését. Ez a védekező mechanizmus segít megakadályozni, hogy a kiberbiztonsági kutatók és az automatizált rendszerek elemezzék a viselkedését.

Szociális manipuláció hamis Google Play Áruház oldalakon keresztül

Miután átment a környezeti ellenőrzéseken, a BeatBanker egy hamisított felületet jelenít meg, amely nagyon hasonlít a Google Play Áruház oldalára egy „INSS Reembolso” feliratú alkalmazás esetében, hamisan azt állítva, hogy szoftverfrissítésre van szükség. Amikor a felhasználó a „Frissítés” lehetőséget választja, a rosszindulatú program engedélyt kér alkalmazások telepítésére, és rejtett rosszindulatú komponenseket tölt le.

Ahelyett, hogy a legitim Google Play infrastruktúrára támaszkodna, a rosszindulatú program közvetlenül telepíti ezeket az összetevőket a megemelt telepítési engedélyekkel való visszaélés révén. A telepítési jogosultságok fenntartása érdekében a rosszindulatú program megtévesztő rendszerfrissítési értesítést generál, és egy előtérben futó szolgáltatást futtat, amely csendben játssza le a médiatartalmakat, megakadályozva, hogy az operációs rendszer leállítsa a rosszindulatú folyamatot.

Kriptovaluta bányászat áldozati eszközökön

A BeatBanker egyik rejtett hasznos adata egy letöltött fájlba ágyazott kriptovaluta-bányász. Ez a komponens az XMRig módosított változata, amelynek célja, hogy a fertőzött eszköz CPU-erőforrásait kihasználva kriptovaluta-bányászatot végezzen a támadók nevében.

A rosszindulatú program intelligensen kezeli a bányászati tevékenységet olyan rendszerparaméterek figyelésével, mint az akkumulátor töltöttségi szintje, az eszköz hőmérséklete és a felhasználói aktivitás. Ezen feltételek alapján a bányász automatikusan elindíthatja vagy szüneteltetheti működését, hogy csökkentse a gyanút és meghosszabbítsa a fertőzést.

Banki trójai és kriptovaluta-lopási mechanizmusok

A kriptovalutákkal való bányászati képesség mellett a BeatBanker egy banki trójai vírust is telepít, amely megpróbál hozzáférési engedélyeket szerezni. Ezen engedélyek megadása lehetővé teszi a támadók számára, hogy irányítsák az eszköz felületét és figyeljék a felhasználói interakciókat.

A rosszindulatú program aktívan nyomon követi, hogy mely alkalmazásokat nyitják meg, és kifejezetten olyan kriptovaluta-platformokat céloz meg, mint a Binance és a Trust Wallet, különös tekintettel az USDT-tranzakciókra. Amikor egy áldozat átutalást kezdeményez, a BeatBanker egy csalárd képernyővel fedi le a legitim tranzakciós felületet. A folyamat során a rosszindulatú program csendben lecseréli a kívánt címzett címét a támadók által ellenőrzött címre, aminek következtében a pénzeszközök az áldozat tudta nélkül átirányításra kerülnek.

A banki modul emellett számos gyakran használt mobilböngésző jelenlétét is kiértékeli, és böngészési információkat gyűjt. Képes manipulálni a mentett hivatkozásokat az alapértelmezett böngészőn belül bejegyzések hozzáadásával, szerkesztésével, törlésével vagy listázásával, és képes megnyitni a támadók által megadott URL-eket.

Parancsnoki és vezérlési képességek és eszközmanipuláció

A BeatBanker egy parancs-és-vezérlő (C2) szerverrel kommunikál, lehetővé téve a támadók számára a fertőzött eszközök távoli kezelését és parancsok kiadását. Ezen az infrastruktúrán keresztül a rosszindulatú program széles körű rosszindulatú műveleteket képes végrehajtani, beleértve a hamis rendszerfrissítések megjelenítését, az eszköz képernyőjének zárolását, a vágólap tartalmának kinyerését és hangfelvételek továbbítását a támadóknak.

További képességek közé tartozik az SMS-üzenetek küldése, a támadó által vezérelt linkek megnyitása a böngészőkben, a tárolt hitelesítő adatok frissítése és az eszközön tárolt fájlok listázása. A rosszindulatú program romboló műveleteket is végrehajthat, például fájlok törlését, gyári beállítások visszaállítását, vagy saját maga eltávolítását a nyomok eltávolítása érdekében egy művelet befejezése után.

Felügyeleti és adatszivárgási funkciók

A pénzügyi lopáson túl a BeatBanker kiterjedt megfigyelőeszközként is funkcionál. Képes rögzíteni a billentyűleütéseket, kinyerni a képernyőn megjelenő szöveget, képernyőképeket készíteni, és valós időben streamelni az eszköz képernyőjét. A futó alkalmazások folyamatos monitorozása lehetővé teszi a támadók számára, hogy megfigyeljék a felhasználók viselkedését és érzékeny információkat gyűjtsenek.

A rosszindulatú program további eszközvezérlő mechanizmusokat is tartalmaz, beleértve az alkalmazásfigyelést, egy beépített tűzfalat, amely blokkolhatja vagy engedélyezheti a kiválasztott alkalmazásokat, állandó értesítések létrehozását és a VPN-kapcsolatok kezelésének lehetőségét.

Engedélyekkel való visszaélés és a jogosultságok megtartásának mechanizmusai

A BeatBanker nagymértékben támaszkodik a magas kockázatú Android-engedélyekre, amelyek jelentősen kiterjesztik az eszköz feletti ellenőrzését. Ezek az engedélyek lehetővé teszik a rosszindulatú program számára, hogy megmaradjon a rendszerben, automatizálja a műveleteket és parancsokat hajtson végre a felhasználó tudta nélkül.

Az ezen engedélyek által biztosított főbb funkciók a következők:

Akadálymentes hozzáférés, amely lehetővé teszi az automatikus koppintásokat, húzásokat és a felület manipulálását
Átfedési engedélyek, amelyek lehetővé teszik, hogy hamis képernyők jelenjenek meg legitim alkalmazások felett
Engedély ismeretlen forrásokból származó alkalmazások telepítésére, lehetővé téve további rosszindulatú összetevők csendes telepítését
Linkek megnyitásának, USSD kódok végrehajtásának és további kártevőcsomagok telepítésének képessége

Ezek a jogosultságok a fertőzött eszközt egy távolról vezérelhető platformmá alakítják, amely képes összetett rosszindulatú műveletek végrehajtására.

Egy feltörekvő variáns StarLink alkalmazásnak álcázva

Biztonsági kutatók azonosítottak a BeatBanker egy újabb változatát, amely egy hamis StarLink alkalmazásnak álcázza magát, és Android-felhasználókat céloz meg. A korábbi verziókkal ellentétben ez a változat nem telepíti a hagyományos banki trójai komponenst.

Ehelyett a BTMOB távoli adminisztrációs trójai vírust (RAT) telepíti. A BTMOB teljes távoli hozzáférést biztosít a támadóknak a feltört eszközökhöz, és Malware-as-a-Service (MaaS) formában terjed, lehetővé téve a kiberbűnözők számára, hogy saját kártevő-infrastruktúra létrehozása nélkül vásárolják meg és telepítsék az eszközt.

Fertőzésvektor és működési hatás

A BeatBanker fertőzések jellemzően adathalász kampánnyal kezdődnek, amely az áldozatokat a hivatalos Google Play Áruházhoz hasonló, csalárd weboldalakra irányítja. A felhasználókat ráveszik, hogy töltsenek le rosszindulatú alkalmazásokat, amelyek kormányzati szolgáltatásoknak álcázzák magukat, például az „INSS Reembolso”-t vagy hasonló hamis segédprogramokat.

Egy eszköz akkor válik veszélybe, amikor az áldozat telepíti a hamisított alkalmazást. Az aktiválás után a BeatBanker további komponenseket, köztük a kriptovaluta-bányászt is lekér, és állandó hozzáférést hoz létre az eszközhöz.

A rosszindulatú programok együttes képességei lehetővé teszik a támadók számára a kriptovaluta bányászatát, pénzügyi adatok ellopását, tranzakciók manipulálását és a fertőzött eszközök távoli vezérlését. Egyes variánsok további rosszindulatú programokat is telepítenek, például a BTMOB-ot, amely hosszabb és korlátlan hozzáférést biztosít a támadóknak a feltört rendszerekhez.

Az EnigmaSoft fizetési processzora, a Digital River GmbH csődbejelentése nem befolyásolja a SpyHunter ügyfelek rosszindulatú programok elleni védelmét

Keresés

Régió módosítása

BeatBanker banki trójai vírus

Fájl nélküli végrehajtás és anti-analízis technikák

Szociális manipuláció hamis Google Play Áruház oldalakon keresztül

Kriptovaluta bányászat áldozati eszközökön

Banki trójai és kriptovaluta-lopási mechanizmusok

Parancsnoki és vezérlési képességek és eszközmanipuláció

Felügyeleti és adatszivárgási funkciók

Engedélyekkel való visszaélés és a jogosultságok megtartásának mechanizmusai

Egy feltörekvő variáns StarLink alkalmazásnak álcázva

Fertőzésvektor és működési hatás

Küldje el megjegyzését

Felkapott

Precludestore.com

Tarwils.com

Suddslife.com

Legnézettebb

Eporner.com

XHAMSTER Ransomware

Fuq.com