Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa mobiliesiems „BeatBanker“ bankininkystės Trojos arklys

„BeatBanker“ bankininkystės Trojos arklys

Autorius Mezo, Kenkėjiška programa mobiliesiems, Bankininkystės Trojos arklys
Versti į:

„BeatBanker“ yra sudėtinga „Android“ kenkėjiška programa, platinama per apgaulingas svetaines, skirtas imituoti „Google Play“ parduotuvę. Kenkėjiška kampanija apgaule priverčia vartotojus atsisiųsti programas, kurios atrodo teisėtos, bet iš tikrųjų pateikia galingą bankininkystės Trojos arklį su kriptovaliutų kasimo galimybėmis. Įdiegus kenkėjišką programą, ji gali užgrobti užkrėstą įrenginį, manipuliuoti vartotojo sąsajomis ir atlikti neteisėtas finansines operacijas. Aptikus grėsmę, būtina ją nedelsiant pašalinti, nes tolesnis veikimas gali sukelti finansinių nuostolių, privatumo pažeidimų ir ilgalaikį įrenginio sugadinimą.

Failų neturintis vykdymas ir antianalizės metodai

Paleidus programą, „BeatBanker“ pradeda rinkti esminę tinklo informaciją, įskaitant įrenginio IP adresą, įrenginio tipą, VPN naudojimo būseną ir susijusią ryšio informaciją. Užuot saugojusi kenkėjiškus komponentus kaip failus įrenginio atmintyje, kenkėjiška programa įkelia savo kodą tiesiai į atmintį. Ši vykdymo be failų technika žymiai sumažina aptikimo tradicinėmis mobiliųjų įrenginių saugos priemonėmis tikimybę.

Siekdama dar labiau išvengti analizės, „BeatBanker“ tikrina, ar veikia testavimo ar tyrimų aplinkoje, pavyzdžiui, emuliatoriuje ar smėlio dėžėje. Jei aptinkamos tokios sąlygos, kenkėjiška programa nedelsdama nutraukia savo veikimą. Šis gynybos mechanizmas padeda užkirsti kelią kibernetinio saugumo tyrėjams ir automatizuotoms sistemoms analizuoti jos elgseną.

Socialinė inžinerija per suklastotus „Google Play“ parduotuvės puslapius

Praėjusi aplinkos patikras, „BeatBanker“ rodo suklastotą sąsają, labai panašią į „Google Play Store“ puslapį, skirtą programai su pavadinimu „INSS Reembolso“, melagingai teigiant, kad reikalingas programinės įrangos atnaujinimas. Kai vartotojas pasirenka parinktį „Atnaujinti“, kenkėjiška programa prašo leidimo įdiegti programas ir atsisiunčia paslėptus kenkėjiškus komponentus.

Užuot pasikliaujusi teisėta „Google Play“ infrastruktūra, kenkėjiška programa šiuos komponentus įdiegia tiesiogiai, piktnaudžiaudama padidintomis diegimo teisėmis. Siekdama išlaikyti nuoseklumą, kenkėjiška programa generuoja apgaulingą sistemos atnaujinimo pranešimą ir paleidžia priekinio plano paslaugą, kuri tyliai leidžia mediją, neleisdama operacinei sistemai nutraukti kenkėjiško proceso.

Kriptovaliutų kasimas aukų įrenginiuose

Vienas iš paslėptų „BeatBanker“ komponentų yra kriptovaliutų kasimo programa, įterpta į atsisiųstą failą. Šis komponentas yra modifikuota „XMRig“ versija, skirta išnaudoti užkrėsto įrenginio procesoriaus išteklius kriptovaliutų kasimui užpuolikų vardu.

Kenkėjiška programa išmaniai valdo kasimo veiklą stebėdama sistemos parametrus, tokius kaip akumuliatoriaus lygis, įrenginio temperatūra ir naudotojo aktyvumas. Remdamasi šiomis sąlygomis, kasimo programa gali automatiškai paleisti arba pristabdyti savo veiklą, kad sumažintų įtarimus ir pailgintų užkrėtimą.

Bankininkystės Trojos arklys ir kriptovaliutų vagystės mechanizmai

Be kriptovaliutų kasimo galimybės, „BeatBanker“ diegia bankininkystės Trojos arklį, kuris bando gauti prieigos leidimus. Suteikus šiuos leidimus, užpuolikai gali valdyti įrenginio sąsają ir stebėti naudotojų sąveiką.

Kenkėjiška programa aktyviai seka, kurios programos atidaromos, ir konkrečiai taikosi į kriptovaliutų platformas, tokias kaip „Binance“ ir „Trust Wallet“, ypatingą dėmesį skirdama USDT operacijoms. Kai auka inicijuoja pavedimą, „BeatBanker“ teisėtos operacijos sąsają uždengia apgaulingu ekranu. Šio proceso metu kenkėjiška programa tyliai pakeičia numatytą gavėjo adresą užpuolikų kontroliuojamu adresu, todėl lėšos nukreipiamos be aukos žinios.

Bankininkystės modulis taip pat įvertina kelių dažniausiai naudojamų mobiliųjų naršyklių buvimą ir renka naršymo informaciją. Jis gali manipuliuoti išsaugotomis nuorodomis numatytojoje naršyklėje, pridėdamas, redaguodamas, ištrindamas arba įtraukdamas įrašus, ir gali atidaryti užpuoliko pateiktus URL.

Komandų ir valdymo galimybės bei įrenginių manipuliavimas

„BeatBanker“ bendrauja su komandų ir valdymo (C2) serveriu, leisdamas užpuolikams nuotoliniu būdu valdyti užkrėstus įrenginius ir duoti komandas. Naudodamasi šia infrastruktūra, kenkėjiška programa gali atlikti įvairius kenkėjiškus veiksmus, įskaitant netikrų sistemos atnaujinimų rodymą, įrenginio ekrano užrakinimą, iškarpinės turinio išgavimą ir garso įrašų perdavimą kenkėjams.

Papildomos funkcijos apima galimybę siųsti SMS žinutes, atidaryti užpuoliko kontroliuojamas nuorodas naršyklėse, atnaujinti saugomus prisijungimo duomenis ir pateikti įrenginyje saugomų failų sąrašą. Kenkėjiška programa taip pat gali atlikti destruktyvius veiksmus, pvz., ištrinti failus, inicijuoti gamyklinių parametrų atkūrimą arba pašalinti save, kad būtų pašalinti pėdsakai atlikus operaciją.

Priežiūros ir duomenų išfiltravimo funkcijos

Be finansinių vagysčių, „BeatBanker“ veikia kaip išsami stebėjimo priemonė. Ji gali įrašyti klavišų paspaudimus, išgauti ekrane rodomą tekstą, daryti ekrano kopijas ir transliuoti įrenginio ekraną realiuoju laiku. Nuolatinis veikiančių programų stebėjimas leidžia užpuolikams stebėti naudotojų elgesį ir rinkti neskelbtiną informaciją.

Kenkėjiška programa taip pat turi papildomų įrenginių valdymo mechanizmų, įskaitant programų stebėjimą, integruotą užkardą, kuri gali blokuoti arba leisti pasirinktas programas, nuolatinį pranešimų kūrimą ir galimybę valdyti VPN ryšius.

Leidimų piktnaudžiavimo ir išlikimo mechanizmai

„BeatBanker“ labai priklauso nuo didelės rizikos „Android“ leidimų, kurie žymiai išplečia jos įrenginio valdymą. Šie leidimai leidžia kenkėjiškai programai išlikti aktyviai, automatizuoti veiksmus ir vykdyti komandas be vartotojo žinios.

Pagrindinės šių leidimų suteikiamos galimybės apima:

  • Prieiga neįgaliesiems, leidžianti automatiškai bakstelėti, braukti ir manipuliuoti sąsaja
  • Perdengimo leidimai, leidžiantys rodyti netikrus ekranus ant teisėtų programų
  • Leidimas diegti programas iš nežinomų šaltinių, leidžiantis tyliai įdiegti papildomus kenkėjiškus komponentus
  • Galimybė atidaryti nuorodas, vykdyti USSD kodus ir diegti kitus kenkėjiškų programų paketus

Šios privilegijos paverčia užkrėstą įrenginį nuotoliniu būdu valdoma platforma, galinčia vykdyti sudėtingas kenkėjiškas operacijas.

Kylantis variantas, užmaskuotas kaip „StarLink“ programa

Saugumo tyrėjai nustatė naujesnę „BeatBanker“ versiją, kuri apsimeta netikra „StarLink“ programa, skirta „Android“ vartotojams. Skirtingai nuo ankstesnės versijos, ši versija neįdiegia tradicinio bankininkystės Trojos arklio komponento.

Vietoj to, jis naudoja nuotolinio administravimo Trojos arklį „BTMOB“ (RAT). „BTMOB“ suteikia užpuolikams visišką nuotolinę prieigą prie pažeistų įrenginių ir yra platinamas kaip „MaaS“ (MaaS), leidžiantis kibernetiniams nusikaltėliams įsigyti ir diegti įrankį nekuriant savo kenkėjiškų programų infrastruktūros.

Infekcijos vektorius ir veiklos poveikis

„BeatBanker“ užkrėtimas paprastai prasideda sukčiavimo kampanija, kurios metu aukos nukreipiamos į apgaulingas svetaines, kurios primena oficialią „Google Play“ parduotuvę. Vartotojai įtikinami atsisiųsti kenkėjiškas programas, apsimetančias vyriausybės paslaugomis, pvz., „INSS Reembolso“ ar panašias netikras programas.

Įrenginys tampa pažeidžiamas, kai auka įdiegia padirbtą programėlę. Po aktyvavimo „BeatBanker“ nuskaito papildomus komponentus, įskaitant kriptovaliutų kasimo programą, ir sukuria nuolatinę prieigą prie įrenginio.

Kenkėjiškos programos bendros galimybės leidžia užpuolikams kasti kriptovaliutą, vogti finansinius duomenis, manipuliuoti operacijomis ir nuotoliniu būdu valdyti užkrėstus įrenginius. Kai kurie variantai taip pat diegia papildomą kenkėjišką programą, pvz., BTMOB, kuri suteikia priešininkams ilgalaikę ir neribotą prieigą prie pažeistų sistemų.

Tendencijos

Labiausiai žiūrima

Įkeliama...