Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Mobiele malware BeatBanker Banktrojan

BeatBanker Banktrojan

Tegen Mezo in Mobiele malware, Bankieren Trojan
Vertalen naar:

BeatBanker is geavanceerde Android-malware die wordt verspreid via frauduleuze websites die de Google Play Store nabootsen. De kwaadaardige campagne misleidt gebruikers om apps te downloaden die legitiem lijken, maar in werkelijkheid een krachtige banktrojan bevatten, gecombineerd met mogelijkheden voor het minen van cryptovaluta. Eenmaal geïnstalleerd, kan de malware het geïnfecteerde apparaat overnemen, gebruikersinterfaces manipuleren en ongeautoriseerde financiële transacties uitvoeren. Onmiddellijke verwijdering is essentieel zodra de dreiging wordt gedetecteerd, aangezien voortdurende werking kan leiden tot financiële verliezen, schending van de privacy en langdurige compromittering van het apparaat.

Bestandsloze uitvoering en anti-analysetechnieken

Bij de uitvoering verzamelt BeatBanker eerst essentiële netwerkinformatie, waaronder het IP-adres van het apparaat, het apparaattype, de VPN-gebruiksstatus en gerelateerde verbindingsgegevens. In plaats van de schadelijke componenten als bestanden op het interne geheugen van het apparaat op te slaan, laadt de malware de code direct in het geheugen. Deze bestandsloze uitvoeringstechniek verkleint de kans op detectie door traditionele mobiele beveiligingsprogramma's aanzienlijk.

Om verdere analyse te ontwijken, controleert BeatBanker of het draait in een test- of onderzoeksomgeving, zoals een emulator of sandbox. Als dergelijke omstandigheden worden gedetecteerd, stopt de malware onmiddellijk met zijn werking. Dit verdedigingsmechanisme helpt voorkomen dat cybersecurityonderzoekers en geautomatiseerde systemen het gedrag ervan analyseren.

Social engineering via nep-Google Play Store-pagina’s

Nadat BeatBanker de omgevingscontroles heeft doorstaan, toont het een vervalste interface die sterk lijkt op de Google Play Store-pagina voor een applicatie met de naam 'INSS Reembolso', en beweert ten onrechte dat een software-update nodig is. Wanneer de gebruiker de optie 'Update' selecteert, vraagt de malware toestemming om applicaties te installeren en downloadt het verborgen schadelijke componenten.

In plaats van gebruik te maken van de legitieme Google Play-infrastructuur, installeert de malware deze componenten rechtstreeks door misbruik te maken van verhoogde installatierechten. Om persistent te blijven, genereert de malware een misleidende systeemupdatemelding en voert een voorgrondservice uit die stilletjes media afspeelt, waardoor het besturingssysteem het schadelijke proces niet kan beëindigen.

Cryptovalutamining op apparaten van slachtoffers

Een van de verborgen payloads van BeatBanker is een cryptocurrency-miner die is ingebed in een gedownload bestand. Deze component is een aangepaste versie van XMRig, ontworpen om de CPU-bronnen van het geïnfecteerde apparaat te misbruiken om namens de aanvallers cryptocurrency te minen.

De malware beheert op intelligente wijze de miningactiviteit door systeemparameters zoals batterijniveau, apparaattemperatuur en gebruikersactiviteit te monitoren. Op basis van deze omstandigheden kan de miner zijn activiteiten automatisch starten of pauzeren om argwaan te wekken en de infectie te verlengen.

Banktrojans en mechanismen voor diefstal van cryptovaluta

Naast de cryptomining-functionaliteit zet BeatBanker een banktrojan in die probeert toegangsrechten te verkrijgen. Door deze rechten te verlenen, kunnen aanvallers de interface van het apparaat beheren en gebruikersinteracties monitoren.

De malware registreert actief welke applicaties worden geopend en richt zich specifiek op cryptocurrency-platforms zoals Binance en Trust Wallet, met een bijzondere focus op USDT-transacties. Wanneer een slachtoffer een overschrijving start, overschrijft BeatBanker de legitieme transactie-interface met een frauduleus scherm. Tijdens dit proces vervangt de malware stilletjes het beoogde ontvangeradres door een adres dat door de aanvallers wordt beheerd, waardoor de fondsen worden omgeleid zonder dat het slachtoffer dit merkt.

De bankmodule controleert ook de aanwezigheid van verschillende veelgebruikte mobiele browsers en verzamelt browsegegevens. Het kan opgeslagen links in de standaardbrowser manipuleren door vermeldingen toe te voegen, te bewerken, te verwijderen of weer te geven, en het kan door de aanvaller aangeleverde URL's openen.

Command-and-control-mogelijkheden en apparaatmanipulatie

BeatBanker communiceert met een command-and-control (C2) server, waardoor aanvallers geïnfecteerde apparaten op afstand kunnen beheren en commando's kunnen geven. Via deze infrastructuur kan de malware een breed scala aan kwaadaardige acties uitvoeren, waaronder het weergeven van nep-systeemupdates, het vergrendelen van het scherm van het apparaat, het extraheren van klembordinhoud en het verzenden van audio-opnames naar cybercriminelen.

De malware beschikt over extra mogelijkheden, zoals het versturen van sms-berichten, het openen van door de aanvaller beheerde links in browsers, het bijwerken van opgeslagen inloggegevens en het weergeven van bestanden op het apparaat. Daarnaast kan de malware destructieve acties uitvoeren, zoals het verwijderen van bestanden, het initiëren van een fabrieksreset of het verwijderen van zichzelf om alle sporen uit te wissen na een voltooide actie.

Bewakings- en gegevensexfiltratiefuncties

Naast financiële diefstal functioneert BeatBanker als een uitgebreid bewakingsinstrument. Het kan toetsaanslagen registreren, tekst van het scherm extraheren, screenshots maken en het scherm van het apparaat in realtime streamen. Door continue monitoring van actieve applicaties kunnen de aanvallers het gedrag van gebruikers observeren en gevoelige informatie verzamelen.

De malware bevat ook extra mechanismen voor apparaatbeheer, waaronder applicatiebewaking, een ingebouwde firewall die bepaalde apps kan blokkeren of toestaan, het permanent aanmaken van notificaties en de mogelijkheid om VPN-verbindingen te beheren.

Mechanismen voor misbruik van machtigingen en persistentie

BeatBanker maakt veelvuldig gebruik van risicovolle Android-machtigingen die de controle over het apparaat aanzienlijk vergroten. Deze machtigingen stellen de malware in staat om persistent te blijven, acties te automatiseren en commando's uit te voeren zonder dat de gebruiker dit merkt.

De belangrijkste mogelijkheden die deze machtigingen bieden, zijn onder meer:

  • Toegankelijkheidstoegang, waardoor geautomatiseerd tikken, vegen en interfacemanipulatie mogelijk zijn.
  • Overlay-machtigingen waarmee nep-schermen over legitieme applicaties kunnen verschijnen.
  • Toestemming om applicaties van onbekende bronnen te installeren, waardoor stilletjes extra schadelijke componenten kunnen worden geïnstalleerd.
  • De mogelijkheid om links te openen, USSD-codes uit te voeren en verdere malwarepakketten te verspreiden.

Deze privileges transformeren het geïnfecteerde apparaat in een op afstand bestuurd platform dat in staat is complexe kwaadaardige handelingen uit te voeren.

Opkomende variant vermomd als een StarLink-applicatie

Beveiligingsonderzoekers hebben een nieuwere variant van BeatBanker ontdekt die zich voordoet als een nep-StarLink-applicatie gericht op Android-gebruikers. In tegenstelling tot eerdere versies installeert deze variant niet de traditionele banktrojan.

In plaats daarvan zet het de BTMOB remote administration Trojan (RAT) in. BTMOB geeft aanvallers volledige toegang op afstand tot gecompromitteerde apparaten en wordt gedistribueerd als Malware-as-a-Service (MaaS), waardoor cybercriminelen de tool kunnen kopen en implementeren zonder hun eigen malware-infrastructuur te hoeven ontwikkelen.

Infectievector en operationele impact

BeatBanker-infecties beginnen doorgaans met een phishingcampagne die slachtoffers naar frauduleuze websites leidt die lijken op de officiële Google Play Store. Gebruikers worden overgehaald om kwaadaardige applicaties te downloaden die zich voordoen als overheidsdiensten, zoals 'INSS Reembolso' of vergelijkbare nep-hulpprogramma's.

Een apparaat raakt gecompromitteerd zodra het slachtoffer de frauduleuze applicatie installeert. Na activering haalt BeatBanker extra componenten op, waaronder de cryptominer, en verkrijgt zo permanente toegang tot het apparaat.

De gecombineerde mogelijkheden van de malware stellen aanvallers in staat om cryptovaluta te minen, financiële gegevens te stelen, transacties te manipuleren en op afstand controle uit te oefenen over geïnfecteerde apparaten. Sommige varianten installeren ook aanvullende malware zoals BTMOB, waardoor tegenstanders langdurig en onbeperkt toegang krijgen tot gecompromitteerde systemen.

Trending

Meest bekeken

Bezig met laden...