Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra mobilajām ierīcēm BeatBanker banku Trojas zirgs

BeatBanker banku Trojas zirgs

Līdz Mezo. gadam Ļaunprātīga programmatūra mobilajām ierīcēm, Banku Trojas zirgs. gadā
Tulkot uz:

BeatBanker ir sarežģīta Android ļaunprogrammatūra, kas tiek izplatīta, izmantojot krāpnieciskas tīmekļa vietnes, kas paredzētas Google Play veikala atdarināšanai. Ļaunprātīgā kampaņa maldina lietotājus, liekot viņiem lejupielādēt lietojumprogrammas, kas šķiet likumīgas, bet patiesībā nodrošina jaudīgu banku Trojas zirgu apvienojumā ar kriptovalūtas ieguves iespējām. Pēc instalēšanas ļaunprogrammatūra var nolaupīt inficēto ierīci, manipulēt ar lietotāja saskarnēm un veikt neatļautas finanšu darījumus. Atklājot draudus, ir svarīgi tos nekavējoties noņemt, jo turpmāka darbība var radīt finansiālus zaudējumus, privātuma pārkāpumus un ilgtermiņa ierīces kompromitēšanu.

Bezfailu izpildes un antianalīzes metodes

Pēc izpildes BeatBanker sāk ar būtiskas tīkla informācijas apkopošanu, tostarp ierīces IP adresi, ierīces tipu, VPN lietošanas statusu un saistīto savienojamības informāciju. Tā vietā, lai ļaunprātīgos komponentus saglabātu kā failus ierīces atmiņā, ļaunprogrammatūra ielādē savu kodu tieši atmiņā. Šī bezfailu izpildes metode ievērojami samazina atklāšanas iespējamību, ko rada tradicionālie mobilo ierīču drošības rīki.

Lai vēl vairāk izvairītos no analīzes, BeatBanker pārbauda, vai tas darbojas testēšanas vai pētniecības vidē, piemēram, emulatorā vai smilškastē. Ja šādi apstākļi tiek konstatēti, ļaunprogrammatūra nekavējoties pārtrauc savu darbību. Šis aizsardzības mehānisms palīdz neļaut kiberdrošības pētniekiem un automatizētām sistēmām analizēt tās darbību.

Sociālā inženierija, izmantojot viltotas Google Play veikala lapas

Pēc vides pārbaužu izturēšanas BeatBanker parāda viltotu saskarni, kas ļoti atgādina Google Play veikala lapu lietojumprogrammai ar nosaukumu “INSS Reembolso”, maldinoši apgalvojot, ka ir nepieciešams programmatūras atjauninājums. Kad lietotājs atlasa opciju “Atjaunināt”, ļaunprogrammatūra pieprasa atļauju instalēt lietojumprogrammas un lejupielādē slēptus ļaunprātīgus komponentus.

Tā vietā, lai paļautos uz likumīgu Google Play infrastruktūru, ļaunprogrammatūra instalē šos komponentus tieši, ļaunprātīgi izmantojot paaugstinātas instalēšanas atļaujas. Lai saglabātu noturību, ļaunprogrammatūra ģenerē maldinošu sistēmas atjauninājuma paziņojumu un palaiž priekšplāna pakalpojumu, kas klusībā atskaņo multividi, neļaujot operētājsistēmai pārtraukt ļaunprātīgo procesu.

Kriptovalūtas ieguve upuru ierīcēs

Viena no BeatBanker slēptajām funkcijām ir kriptovalūtas ieguves programma, kas iegulta lejupielādētā failā. Šī komponente ir modificēta XMRig versija, kas paredzēta, lai izmantotu inficētās ierīces centrālā procesora resursus kriptovalūtas ieguvei uzbrucēju vārdā.

Ļaunprogrammatūra inteliģenti pārvalda ieguves aktivitātes, uzraugot sistēmas parametrus, piemēram, akumulatora uzlādes līmeni, ierīces temperatūru un lietotāja aktivitāti. Pamatojoties uz šiem nosacījumiem, ieguves programma var automātiski sākt vai apturēt savu darbību, lai mazinātu aizdomas un paildzinātu infekciju.

Banku Trojas zirgu un kriptovalūtu zādzības mehānismi

Papildus kriptovalūtu ieguves iespējām BeatBanker izmanto banku Trojas zirgu, kas mēģina iegūt piekļuves atļaujas. Šo atļauju piešķiršana ļauj uzbrucējiem kontrolēt ierīces saskarni un uzraudzīt lietotāju mijiedarbību.

Ļaunprogrammatūra aktīvi izseko, kuras lietotnes tiek atvērtas, un īpaši mērķē uz kriptovalūtu platformām, piemēram, Binance un Trust Wallet, īpašu uzmanību pievēršot USDT darījumiem. Kad upuris uzsāk pārskaitījumu, BeatBanker pārklāj likumīgā darījuma saskarni ar krāpniecisku ekrānu. Šī procesa laikā ļaunprogrammatūra nemanāmi aizstāj paredzēto saņēmēja adresi ar uzbrucēju kontrolētu adresi, izraisot līdzekļu novirzīšanu bez upura ziņas.

Banku modulis arī novērtē vairāku bieži izmantotu mobilo pārlūkprogrammu klātbūtni un apkopo pārlūkošanas informāciju. Tas var manipulēt ar saglabātajām saitēm noklusējuma pārlūkprogrammā, pievienojot, rediģējot, dzēšot vai uzskaitot ierakstus, un tas var atvērt uzbrucēja sniegtos URL.

Komandvadības un kontroles iespējas un ierīču manipulācija

BeatBanker sazinās ar komandu un vadības (C2) serveri, ļaujot uzbrucējiem attālināti pārvaldīt inficētās ierīces un izdot komandas. Izmantojot šo infrastruktūru, ļaunprogrammatūra var veikt plašu ļaunprātīgu darbību klāstu, tostarp parādīt viltotus sistēmas atjauninājumus, bloķēt ierīces ekrānu, iegūt starpliktuves saturu un pārsūtīt audio ierakstus uzbrucējiem.

Papildu iespējas ietver iespēju sūtīt īsziņas, atvērt uzbrucēju kontrolētas saites pārlūkprogrammās, atjaunināt saglabātos akreditācijas datus un uzskaitīt ierīcē saglabātos failus. Ļaunprogrammatūra var veikt arī destruktīvas darbības, piemēram, dzēst failus, uzsākt rūpnīcas atiestatīšanu vai atinstalēt sevi, lai noņemtu pēdas pēc darbības pabeigšanas.

Uzraudzības un datu eksfiltrācijas līdzekļi

Papildus finanšu zādzībām BeatBanker darbojas arī kā plašs novērošanas rīks. Tas spēj ierakstīt taustiņsitienus, iegūt ekrānā redzamo tekstu, uzņemt ekrānuzņēmumus un straumēt ierīces ekrānu reāllaikā. Nepārtraukta darbojošos lietojumprogrammu uzraudzība ļauj uzbrucējiem novērot lietotāju uzvedību un apkopot sensitīvu informāciju.

Ļaunprogrammatūra satur arī papildu ierīču kontroles mehānismus, tostarp lietojumprogrammu uzraudzību, iebūvētu ugunsmūri, kas var bloķēt vai atļaut atlasītas lietotnes, pastāvīgu paziņojumu ģenerēšanu un iespēju pārvaldīt VPN savienojumus.

Atļauju ļaunprātīgas izmantošanas un noturības mehānismi

BeatBanker lielā mērā paļaujas uz augsta riska Android atļaujām, kas ievērojami paplašina tā kontroli pār ierīci. Šīs atļaujas ļauj ļaunprogrammatūrai saglabāt noturību, automatizēt darbības un izpildīt komandas bez lietotāja ziņas.

Galvenās iespējas, ko nodrošina šīs atļaujas, ietver:

  • Pieejamības piekļuve, kas ļauj veikt automātiskus pieskārienus, vilkšanas kustības un manipulēt ar saskarni
  • Pārklājuma atļaujas, kas ļauj viltotiem ekrāniem parādīties virs likumīgām lietojumprogrammām
  • Atļauja instalēt lietojumprogrammas no nezināmiem avotiem, nodrošinot klusu papildu ļaunprātīgu komponentu instalēšanu
  • Spēja atvērt saites, izpildīt USSD kodus un izvietot papildu ļaunprogrammatūras pakotnes

Šīs privilēģijas pārveido inficēto ierīci par attālināti vadāmu platformu, kas spēj veikt sarežģītas ļaunprātīgas darbības.

Jaunais variants, kas maskēts kā StarLink lietojumprogramma

Drošības pētnieki ir identificējuši jaunāku BeatBanker variantu, kas maskējas kā viltota StarLink lietojumprogramma, kuras mērķauditorija ir Android lietotāji. Atšķirībā no iepriekšējām versijām, šajā variantā netiek instalēts tradicionālais banku Trojas zirga komponents.

Tā vietā tas izmanto attālās administrēšanas Trojas zirgu (RAT) BTMOB. BTMOB piešķir uzbrucējiem pilnīgu attālo piekļuvi apdraudētām ierīcēm un tiek izplatīts kā ļaunprogrammatūra kā pakalpojums (MaaS), ļaujot kibernoziedzniekiem iegādāties un izvietot rīku, neizstrādājot savu ļaunprogrammatūras infrastruktūru.

Infekcijas vektors un darbības ietekme

BeatBanker infekcijas parasti sākas ar pikšķerēšanas kampaņu, kas novirza upurus uz krāpnieciskām vietnēm, kas veidotas, lai atgādinātu oficiālo Google Play veikalu. Lietotāji tiek pierunāti lejupielādēt ļaunprātīgas lietojumprogrammas, kas izliekas par valdības pakalpojumiem, piemēram, “INSS Reembolso” vai līdzīgas viltotas utilītu lietotnes.

Ierīce kļūst apdraudēta, tiklīdz upuris instalē viltotu lietojumprogrammu. Pēc aktivizēšanas BeatBanker izgūst papildu komponentus, tostarp kriptovalūtas ieguves rīku, un izveido pastāvīgu piekļuvi ierīcei.

Ļaunprogrammatūras apvienotās iespējas ļauj uzbrucējiem iegūt kriptovalūtu, zagt finanšu datus, manipulēt ar darījumiem un attālināti kontrolēt inficētās ierīces. Daži varianti izvieto arī papildu ļaunprogrammatūru, piemēram, BTMOB, kas nodrošina pretiniekiem ilgstošu un neierobežotu piekļuvi apdraudētām sistēmām.

Tendences

Visvairāk skatīts

Notiek ielāde...