Trojan bankowy BeatBanker

Do Mezo w Mobilne złośliwe oprogramowanie, Trojan bankowy

Przetłumacz na:

BeatBanker to wyrafinowany złośliwy program na Androida, rozpowszechniany za pośrednictwem fałszywych stron internetowych imitujących Google Play Store. Złośliwa kampania nakłania użytkowników do pobrania aplikacji, które wyglądają na legalne, ale w rzeczywistości zawierają potężnego trojana bankowego połączonego z funkcjami kopania kryptowalut. Po zainstalowaniu, złośliwe oprogramowanie może przejąć kontrolę nad zainfekowanym urządzeniem, manipulować interfejsami użytkownika i wykonywać nieautoryzowane transakcje finansowe. Natychmiastowe usunięcie jest niezbędne po wykryciu zagrożenia, ponieważ dalsze działanie może skutkować stratami finansowymi, naruszeniem prywatności i długotrwałym zagrożeniem urządzenia.

Spis treści

Techniki wykonywania bezplikowego i antyanalizy

Po uruchomieniu, BeatBanker rozpoczyna zbieranie istotnych informacji sieciowych, takich jak adres IP urządzenia, typ urządzenia, status korzystania z sieci VPN oraz powiązane szczegóły połączenia. Zamiast przechowywać swoje złośliwe komponenty w postaci plików w pamięci urządzenia, malware ładuje swój kod bezpośrednio do pamięci. Ta bezplikowa technika uruchamiania znacznie zmniejsza prawdopodobieństwo wykrycia przez tradycyjne narzędzia bezpieczeństwa mobilnego.

Aby jeszcze bardziej uniknąć analizy, BeatBanker sprawdza, czy działa w środowisku testowym lub badawczym, takim jak emulator lub piaskownica. W przypadku wykrycia takich warunków, złośliwe oprogramowanie natychmiast kończy działanie. Ten mechanizm obronny uniemożliwia badaczom cyberbezpieczeństwa i systemom automatycznym analizę jego zachowania.

Inżynieria społeczna za pomocą fałszywych stron w sklepie Google Play

Po przejściu kontroli środowiska, BeatBanker wyświetla fałszywy interfejs, który bardzo przypomina stronę Google Play Store dla aplikacji o nazwie „INSS Reembolso”, fałszywie twierdząc, że wymagana jest aktualizacja oprogramowania. Gdy użytkownik wybierze opcję „Aktualizuj”, złośliwe oprogramowanie żąda pozwolenia na instalację aplikacji i pobiera ukryte, szkodliwe komponenty.

Zamiast polegać na legalnej infrastrukturze Google Play, złośliwe oprogramowanie instaluje te komponenty bezpośrednio, nadużywając uprawnień instalacji. Aby utrzymać się w systemie, złośliwe oprogramowanie generuje fałszywe powiadomienie o aktualizacji systemu i uruchamia usługę na pierwszym planie, która dyskretnie odtwarza multimedia, uniemożliwiając systemowi operacyjnemu zakończenie złośliwego procesu.

Kopanie kryptowalut na urządzeniach ofiar

Jednym z ukrytych ładunków BeatBankera jest koparka kryptowaluty osadzona w pobranym pliku. Komponent ten jest zmodyfikowaną wersją XMRig, zaprojektowaną w celu wykorzystania zasobów procesora zainfekowanego urządzenia do kopania kryptowaluty na zlecenie atakujących.

Szkodliwe oprogramowanie inteligentnie zarządza aktywnością kopania kryptowalut, monitorując parametry systemu, takie jak poziom naładowania baterii, temperaturę urządzenia i aktywność użytkownika. Na podstawie tych danych, program do kopania kryptowalut może automatycznie uruchamiać lub wstrzymywać działanie, aby zmniejszyć podejrzenia i przedłużyć czas trwania infekcji.

Trojany bankowe i mechanizmy kradzieży kryptowalut

Oprócz możliwości kopania kryptowalut, BeatBanker wdraża trojana bankowego, który próbuje uzyskać uprawnienia dostępu. Przyznanie tych uprawnień pozwala atakującym kontrolować interfejs urządzenia i monitorować interakcje użytkownika.

Szkodliwe oprogramowanie aktywnie śledzi otwierane aplikacje i atakuje platformy kryptowalutowe, takie jak Binance i Trust Wallet, ze szczególnym uwzględnieniem transakcji USDT. Gdy ofiara inicjuje przelew, BeatBanker nakłada na legalny interfejs transakcji fałszywy ekran. W trakcie tego procesu złośliwe oprogramowanie po cichu zastępuje adres odbiorcy adresem kontrolowanym przez atakujących, powodując przekierowanie środków bez wiedzy ofiary.

Moduł bankowy analizuje również obecność kilku powszechnie używanych przeglądarek mobilnych i zbiera informacje o przeglądaniu. Potrafi manipulować zapisanymi linkami w domyślnej przeglądarce poprzez dodawanie, edycję, usuwanie lub wyświetlanie wpisów, a także otwierać adresy URL dostarczone przez atakującego.

Możliwości dowodzenia i kontroli oraz manipulacja urządzeniami

BeatBanker komunikuje się z serwerem poleceń i kontroli (C2), umożliwiając atakującym zdalne zarządzanie zainfekowanymi urządzeniami i wydawanie poleceń. Za pośrednictwem tej infrastruktury złośliwe oprogramowanie może wykonywać szeroki zakres złośliwych działań, w tym wyświetlać fałszywe aktualizacje systemu, blokować ekran urządzenia, wyodrębniać zawartość schowka i przesyłać nagrania audio do cyberprzestępców.

Dodatkowe możliwości obejmują możliwość wysyłania wiadomości SMS, otwierania linków kontrolowanych przez atakujących w przeglądarkach, aktualizowania zapisanych danych uwierzytelniających oraz wyświetlania listy plików przechowywanych na urządzeniu. Szkodliwe oprogramowanie może również wykonywać działania destrukcyjne, takie jak usuwanie plików, inicjowanie przywracania ustawień fabrycznych lub odinstalowywanie się w celu usunięcia śladów po zakończeniu operacji.

Funkcje nadzoru i eksfiltracji danych

Oprócz kradzieży finansowej, BeatBanker pełni również funkcję rozbudowanego narzędzia do monitoringu. Potrafi rejestrować naciśnięcia klawiszy, wyodrębniać tekst wyświetlany na ekranie, wykonywać zrzuty ekranu i przesyłać strumieniowo zawartość ekranu urządzenia w czasie rzeczywistym. Ciągły monitoring uruchomionych aplikacji pozwala atakującym obserwować zachowanie użytkowników i zbierać poufne informacje.

Szkodliwe oprogramowanie zawiera również dodatkowe mechanizmy kontroli urządzenia, w tym monitorowanie aplikacji, wbudowaną zaporę sieciową, która może blokować lub zezwalać na działanie wybranych aplikacji, tworzenie trwałych powiadomień oraz możliwość zarządzania połączeniami VPN.

Mechanizmy nadużywania uprawnień i ich utrwalania

BeatBanker w dużym stopniu opiera się na ryzykownych uprawnieniach Androida, które znacząco rozszerzają jego kontrolę nad urządzeniem. Uprawnienia te pozwalają złośliwemu oprogramowaniu na utrzymywanie się w systemie, automatyzację działań i wykonywanie poleceń bez wiedzy użytkownika.

Kluczowe możliwości udostępniane przez te uprawnienia obejmują:

Dostęp do funkcji ułatwiających dostęp, umożliwiający automatyczne stuknięcia, przesuwanie i manipulowanie interfejsem
Nakładanie uprawnień umożliwiających wyświetlanie fałszywych ekranów nad legalnymi aplikacjami
Zezwolenie na instalację aplikacji z nieznanych źródeł, umożliwiające cichą instalację dodatkowych złośliwych komponentów
Możliwość otwierania linków, wykonywania kodów USSD i wdrażania kolejnych pakietów złośliwego oprogramowania

Uprawnienia te przekształcają zainfekowane urządzenie w zdalnie sterowaną platformę zdolną do wykonywania złożonych złośliwych operacji.

Nowa wersja podszywająca się pod aplikację StarLink

Badacze bezpieczeństwa zidentyfikowali nowszą odmianę BeatBankera, podszywającą się pod fałszywą aplikację StarLink, skierowaną do użytkowników Androida. W przeciwieństwie do wcześniejszych wersji, ta odmiana nie instaluje tradycyjnego komponentu trojana bankowego.

Zamiast tego wdraża trojana zdalnego administrowania (RAT) BTMOB. BTMOB zapewnia atakującym pełny zdalny dostęp do zainfekowanych urządzeń i jest dystrybuowany w modelu Malware-as-a-Service (MaaS), umożliwiając cyberprzestępcom zakup i wdrożenie tego narzędzia bez konieczności tworzenia własnej infrastruktury malware.

Wektor infekcji i wpływ operacyjny

Infekcje BeatBanker zazwyczaj rozpoczynają się od kampanii phishingowej, która kieruje ofiary na fałszywe strony internetowe przypominające oficjalny sklep Google Play. Użytkownicy są nakłaniani do pobierania złośliwych aplikacji podszywających się pod usługi rządowe, takie jak „INSS Reembolso” lub podobne fałszywe aplikacje narzędziowe.

Urządzenie zostaje zainfekowane, gdy ofiara zainstaluje fałszywą aplikację. Po aktywacji BeatBanker pobiera dodatkowe komponenty, w tym program do kopania kryptowalut, i ustanawia stały dostęp do urządzenia.

Połączone możliwości złośliwego oprogramowania pozwalają atakującym wydobywać kryptowaluty, kraść dane finansowe, manipulować transakcjami i utrzymywać zdalną kontrolę nad zainfekowanymi urządzeniami. Niektóre warianty wdrażają również dodatkowe złośliwe oprogramowanie, takie jak BTMOB, zapewniając atakującym długotrwały i nieograniczony dostęp do zainfekowanych systemów.

Procesor płatności Digital River GmbH firmy EnigmaSoft ogłasza upadłość, nie wpływając na ochronę antymalware klientów SpyHunter

Szukaj

Zmieniać region

Trojan bankowy BeatBanker

Techniki wykonywania bezplikowego i antyanalizy

Inżynieria społeczna za pomocą fałszywych stron w sklepie Google Play

Kopanie kryptowalut na urządzeniach ofiar

Trojany bankowe i mechanizmy kradzieży kryptowalut

Możliwości dowodzenia i kontroli oraz manipulacja urządzeniami

Funkcje nadzoru i eksfiltracji danych

Mechanizmy nadużywania uprawnień i ich utrwalania

Nowa wersja podszywająca się pod aplikację StarLink

Wektor infekcji i wpływ operacyjny

Prześlij komentarz

Popularne

Precludestore.com

Tarwils.com

Suddslife.com

Najczęściej oglądane

Jak naprawić błąd „Sterownik drukarki jest niedostępny”

Jak naprawić „macOS nie może zweryfikować, czy ta...

Discord pokazuje czarny ekran podczas udostępniania...