Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware móvel BeatBanker Trojan Bancário

BeatBanker Trojan Bancário

Por Mezo em Malware móvel, Trojan Bancário
Traduzir Para:

O BeatBanker é um malware sofisticado para Android, distribuído por meio de sites fraudulentos projetados para imitar a Google Play Store. A campanha maliciosa engana os usuários, levando-os a baixar aplicativos que parecem legítimos, mas que, na verdade, contêm um poderoso Trojan bancário combinado com recursos de mineração de criptomoedas. Uma vez instalado, o malware pode sequestrar o dispositivo infectado, manipular as interfaces do usuário e realizar transações financeiras não autorizadas. A remoção imediata é essencial assim que a ameaça for detectada, pois a operação contínua pode resultar em perdas financeiras, violações de privacidade e comprometimento permanente do dispositivo.

Execução sem arquivos e técnicas anti-análise

Após a execução, o BeatBanker começa coletando informações essenciais da rede, incluindo o endereço IP do dispositivo, o tipo de dispositivo, o status de uso da VPN e detalhes de conectividade relacionados. Em vez de armazenar seus componentes maliciosos como arquivos no armazenamento do dispositivo, o malware carrega seu código diretamente na memória. Essa técnica de execução sem arquivos reduz significativamente a probabilidade de detecção por ferramentas tradicionais de segurança móvel.

Para evitar ainda mais a análise, o BeatBanker verifica se está sendo executado em um ambiente de teste ou pesquisa, como um emulador ou sandbox. Se tais condições forem detectadas, o malware encerra sua operação imediatamente. Esse mecanismo de defesa ajuda a impedir que pesquisadores de segurança cibernética e sistemas automatizados analisem seu comportamento.

Engenharia social por meio de páginas falsas da Google Play Store

Após passar pelas verificações de ambiente, o BeatBanker exibe uma interface falsa que se assemelha muito à página da Google Play Store para um aplicativo chamado 'INSS Reembolso', alegando falsamente que uma atualização de software é necessária. Quando o usuário seleciona a opção 'Atualizar', o malware solicita permissão para instalar aplicativos e baixa componentes maliciosos ocultos.

Em vez de utilizar a infraestrutura legítima do Google Play, o malware instala esses componentes diretamente, abusando de permissões de instalação elevadas. Para manter a persistência, o malware gera uma notificação enganosa de atualização do sistema e executa um serviço em primeiro plano que reproduz mídia silenciosamente, impedindo que o sistema operacional encerre o processo malicioso.

Mineração de criptomoedas em dispositivos das vítimas

Um dos payloads ocultos do BeatBanker é um minerador de criptomoedas embutido em um arquivo baixado. Esse componente é uma versão modificada do XMRig, projetada para explorar os recursos da CPU do dispositivo infectado para minerar criptomoedas em nome dos atacantes.

O malware gerencia de forma inteligente a atividade de mineração, monitorando parâmetros do sistema como nível da bateria, temperatura do dispositivo e atividade do usuário. Com base nessas condições, o minerador pode iniciar ou pausar sua operação automaticamente para reduzir suspeitas e prolongar a infecção.

Trojans bancários e mecanismos de roubo de criptomoedas

Além da capacidade de mineração de criptomoedas, o BeatBanker implanta um Trojan bancário que tenta obter permissões de acesso. Conceder essas permissões permite que os invasores controlem a interface do dispositivo e monitorem as interações do usuário.

O malware rastreia ativamente quais aplicativos são abertos e tem como alvo específico plataformas de criptomoedas como Binance e Trust Wallet, com foco particular em transações de USDT. Quando uma vítima inicia uma transferência, o BeatBanker sobrepõe a interface legítima da transação com uma tela fraudulenta. Durante esse processo, o malware substitui silenciosamente o endereço do destinatário pretendido por um endereço controlado pelos atacantes, fazendo com que os fundos sejam redirecionados sem o conhecimento da vítima.

O módulo bancário também avalia a presença de vários navegadores móveis comuns e coleta informações de navegação. Ele pode manipular links salvos no navegador padrão, adicionando, editando, excluindo ou listando entradas, e pode abrir URLs fornecidas pelo atacante.

Capacidades de comando e controle e manipulação de dispositivos

O BeatBanker se comunica com um servidor de comando e controle (C2), permitindo que os atacantes gerenciem remotamente os dispositivos infectados e emitam comandos. Por meio dessa infraestrutura, o malware pode executar uma ampla gama de ações maliciosas, incluindo exibir atualizações de sistema falsas, bloquear a tela do dispositivo, extrair o conteúdo da área de transferência e transmitir gravações de áudio para os agentes maliciosos.

Outras funcionalidades incluem a capacidade de enviar mensagens SMS, abrir links controlados pelo atacante em navegadores, atualizar credenciais armazenadas e listar arquivos armazenados no dispositivo. O malware também pode executar ações destrutivas, como excluir arquivos, iniciar uma restauração de fábrica ou se desinstalar para remover rastros após a conclusão de uma operação.

Recursos de vigilância e exfiltração de dados

Além de permitir roubo financeiro, o BeatBanker funciona como uma ferramenta de vigilância abrangente. Ele é capaz de registrar as teclas digitadas, extrair o texto exibido na tela, capturar screenshots e transmitir a tela do dispositivo em tempo real. O monitoramento contínuo dos aplicativos em execução permite que os invasores observem o comportamento do usuário e coletem informações confidenciais.

O malware também contém mecanismos adicionais de controle de dispositivos, incluindo monitoramento de aplicativos, um firewall integrado que pode bloquear ou permitir aplicativos selecionados, criação de notificações persistentes e a capacidade de gerenciar conexões VPN.

Abuso de permissões e mecanismos de persistência

O BeatBanker depende fortemente de permissões de alto risco do Android, que ampliam significativamente seu controle sobre o dispositivo. Essas permissões permitem que o malware mantenha persistência, automatize ações e execute comandos sem o conhecimento do usuário.

As principais funcionalidades habilitadas por essas permissões incluem:

  • Acesso acessível, permitindo toques, deslizes e manipulação de interface automatizados.
  • Permissões de sobreposição que permitem que telas falsas apareçam sobre aplicativos legítimos.
  • Permissão para instalar aplicativos de fontes desconhecidas, permitindo a instalação silenciosa de componentes maliciosos adicionais.
  • A capacidade de abrir links, executar códigos USSD e implantar outros pacotes de malware.

Esses privilégios transformam o dispositivo infectado em uma plataforma controlada remotamente, capaz de executar operações maliciosas complexas.

Nova variante disfarçada de aplicativo StarLink

Pesquisadores de segurança identificaram uma variante mais recente do BeatBanker que se disfarça de aplicativo falso da StarLink, visando usuários do Android. Diferentemente das versões anteriores, esta variante não instala o componente tradicional de Trojan bancário.

Em vez disso, ele implanta o Trojan de administração remota (RAT) BTMOB. O BTMOB concede aos atacantes acesso remoto completo aos dispositivos comprometidos e é distribuído como Malware como Serviço (MaaS), permitindo que os cibercriminosos comprem e implantem a ferramenta sem desenvolver sua própria infraestrutura de malware.

Vetor de infecção e impacto operacional

As infecções pelo BeatBanker geralmente começam com uma campanha de phishing que direciona as vítimas para sites fraudulentos projetados para se assemelharem à loja oficial do Google Play. Os usuários são persuadidos a baixar aplicativos maliciosos que se passam por serviços governamentais, como o 'INSS Reembolso' ou aplicativos utilitários falsos semelhantes.

Um dispositivo fica comprometido assim que a vítima instala o aplicativo falso. Após a ativação, o BeatBanker recupera componentes adicionais, incluindo o minerador de criptomoedas, e estabelece acesso persistente ao dispositivo.

As capacidades combinadas do malware permitem que os atacantes minerem criptomoedas, roubem dados financeiros, manipulem transações e mantenham controle remoto sobre dispositivos infectados. Algumas variantes também implantam malware adicional, como o BTMOB, concedendo aos adversários acesso prolongado e irrestrito a sistemas comprometidos.

Tendendo

Mais visto

Carregando...