Rabatttilbud for flere lisenser
Trusseldatabase Mobil skadelig programvare BeatBanker Banking Trojan

BeatBanker Banking Trojan

Med Mezo i Mobil skadelig programvare, Bank Trojan
Oversett til:

BeatBanker er en sofistikert Android-skadevare som distribueres gjennom falske nettsteder som er utformet for å imitere Google Play Store. Den ondsinnede kampanjen lurer brukere til å laste ned apper som ser legitime ut, men som faktisk leverer en kraftig banktrojaner kombinert med kryptovalutautvinningsmuligheter. Når den er installert, kan skadevaren kapre den infiserte enheten, manipulere brukergrensesnitt og utføre uautoriserte økonomiske transaksjoner. Umiddelbar fjerning er viktig når trusselen oppdages, da fortsatt drift kan føre til økonomiske tap, brudd på personvernet og langvarig kompromittering av enheten.

Filløse utførelses- og antianalyseteknikker

Ved kjøring begynner BeatBanker med å samle inn viktig nettverksinformasjon, inkludert enhetens IP-adresse, enhetstype, VPN-bruksstatus og relaterte tilkoblingsdetaljer. I stedet for å lagre de skadelige komponentene som filer på enhetens lagring, laster skadevaren koden sin direkte inn i minnet. Denne filløse utførelsesteknikken reduserer sannsynligheten for oppdagelse av tradisjonelle mobile sikkerhetsverktøy betydelig.

For å unngå analyse ytterligere, sjekker BeatBanker om den kjører i et test- eller forskningsmiljø, for eksempel en emulator eller sandkasse. Hvis slike forhold oppdages, avslutter skadevaren operasjonen umiddelbart. Denne forsvarsmekanismen bidrar til å forhindre at nettsikkerhetsforskere og automatiserte systemer analyserer oppførselen.

Sosial manipulering via falske Google Play Store-sider

Etter å ha bestått miljøkontrollene, viser BeatBanker et forfalsket grensesnitt som ligner mye på Google Play Store-siden for en app merket «INSS Reembolso», og hevder feilaktig at en programvareoppdatering er nødvendig. Når brukeren velger alternativet «Oppdater», ber den skadelige programvaren om tillatelse til å installere apper og laster ned skjulte skadelige komponenter.

I stedet for å stole på den legitime Google Play-infrastrukturen, installerer skadevaren disse komponentene direkte ved å misbruke forhøyede installasjonstillatelser. For å opprettholde varighet genererer skadevaren et villedende systemoppdateringsvarsel og kjører en forgrunnstjeneste som spiller av medier i stillhet, noe som hindrer operativsystemet i å avslutte den skadelige prosessen.

Kryptovalutautvinning på offerenheter

En av BeatBankers skjulte nyttelaster er en kryptovaluta-miner innebygd i en nedlastet fil. Denne komponenten er en modifisert versjon av XMRig designet for å utnytte den infiserte enhetens CPU-ressurser til å utvinne kryptovaluta på vegne av angriperne.

Skadevaren administrerer intelligent gruveaktivitet ved å overvåke systemparametere som batterinivå, enhetstemperatur og brukeraktivitet. Basert på disse forholdene kan gruveprogrammet automatisk starte eller sette driften på pause for å redusere mistanke og forlenge infeksjonen.

Banktrojanere og mekanismer for tyveri av kryptovaluta

Ved siden av kryptoutvinningsfunksjonen bruker BeatBanker en banktrojaner som prøver å få tilgangstillatelser. Å gi disse tillatelsene lar angripere kontrollere enhetens grensesnitt og overvåke brukerinteraksjoner.

Skadevaren sporer aktivt hvilke applikasjoner som åpnes, og retter seg spesifikt mot kryptovalutaplattformer som Binance og Trust Wallet, med særlig fokus på USDT-transaksjoner. Når et offer starter en overføring, legger BeatBanker en falsk skjerm over det legitime transaksjonsgrensesnittet. I løpet av denne prosessen erstatter skadevaren i stillhet den tiltenkte mottakeradressen med en adresse kontrollert av angriperne, noe som fører til at midlene blir omdirigert uten offerets viten.

Bankmodulen evaluerer også tilstedeværelsen av flere vanlige mobilnettlesere og samler inn nettleserinformasjon. Den kan manipulere lagrede lenker i standardnettleseren ved å legge til, redigere, slette eller liste oppføringer, og den kan åpne URL-er levert av angripere.

Kommando- og kontrollfunksjoner og enhetsmanipulering

BeatBanker kommuniserer med en kommando-og-kontroll-server (C2), slik at angripere kan fjernstyre infiserte enheter og utstede kommandoer. Gjennom denne infrastrukturen kan skadevaren utføre en rekke ondsinnede handlinger, inkludert å vise falske systemoppdateringer, låse enhetsskjermen, trekke ut innhold fra utklippstavlen og overføre lydopptak til trusselaktører.

Ytterligere funksjoner inkluderer muligheten til å sende SMS-meldinger, åpne angriperkontrollerte lenker i nettlesere, oppdatere lagret legitimasjon og liste filer som er lagret på enheten. Skadevaren kan også utføre destruktive handlinger som å slette filer, starte en tilbakestilling til fabrikkinnstillinger eller avinstallere seg selv for å fjerne spor etter at en operasjon er fullført.

Overvåkings- og dataeksfiltreringsfunksjoner

Utover økonomisk tyveri fungerer BeatBanker som et omfattende overvåkingsverktøy. Det er i stand til å registrere tastetrykk, trekke ut tekst som vises på skjermen, ta skjermbilder og strømme enhetens skjerm i sanntid. Kontinuerlig overvåking av kjørende applikasjoner lar angriperne observere brukeratferd og samle inn sensitiv informasjon.

Skadevaren inneholder også ytterligere enhetskontrollmekanismer, inkludert applikasjonsovervåking, en innebygd brannmur som kan blokkere eller tillate utvalgte apper, vedvarende varslingsoppretting og muligheten til å administrere VPN-tilkoblinger.

Mekanismer for misbruk av tillatelser og vedvarende tiltak

BeatBanker er i stor grad avhengig av Android-tillatelser med høy risiko, som utvider kontrollen over enheten betydelig. Disse tillatelsene lar skadevaren opprettholde sin varighet, automatisere handlinger og utføre kommandoer uten at brukeren er klar over det.

Viktige funksjoner som aktiveres av disse tillatelsene inkluderer:

  • Tilgjengelighetstilgang, som tillater automatiserte trykk, sveiping og grensesnittmanipulering
  • Overleggstillatelser som gjør at falske skjermbilder kan vises over legitime applikasjoner
  • Tillatelse til å installere apper fra ukjente kilder, noe som muliggjør stille installasjon av ytterligere skadelige komponenter
  • Muligheten til å åpne lenker, kjøre USSD-koder og distribuere ytterligere skadevarepakker

Disse rettighetene forvandler den infiserte enheten til en fjernstyrt plattform som er i stand til å utføre komplekse, ondsinnede operasjoner.

Ny variant forkledd som en StarLink-applikasjon

Sikkerhetsforskere har identifisert en nyere variant av BeatBanker som utgir seg for å være en falsk StarLink-applikasjon rettet mot Android-brukere. I motsetning til tidligere versjoner installerer ikke denne varianten den tradisjonelle banktrojanerkomponenten.

I stedet distribuerer den BTMOB-trojaneren for fjernadministrasjon (RAT). BTMOB gir angripere full ekstern tilgang til kompromitterte enheter og distribueres som Malware-as-a-Service (MaaS), slik at nettkriminelle kan kjøpe og distribuere verktøyet uten å utvikle sin egen infrastruktur for skadelig programvare.

Infeksjonsvektor og operasjonell påvirkning

BeatBanker-infeksjoner starter vanligvis med en phishing-kampanje som leder ofre til falske nettsteder som er utformet for å ligne den offisielle Google Play Store. Brukere blir overtalt til å laste ned skadelige apper som utgir seg for å være myndighetsrelaterte tjenester, som «INSS Reembolso» eller lignende falske verktøyapper.

En enhet blir kompromittert når offeret installerer den forfalskede applikasjonen. Etter aktivering henter BeatBanker ytterligere komponenter, inkludert kryptovaluta-mineren, og etablerer permanent tilgang til enheten.

De kombinerte egenskapene til den skadelige programvaren lar angripere utvinne kryptovaluta, stjele økonomiske data, manipulere transaksjoner og opprettholde fjernkontroll over infiserte enheter. Noen varianter distribuerer også ytterligere skadelig programvare, som BTMOB, som gir motstandere langvarig og ubegrenset tilgang til kompromitterte systemer.

Trender

Mest sett

Laster inn...