Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Malware mobil Troian bancar BeatBanker

Troian bancar BeatBanker

Până în Mezo în Malware mobil, Troian bancar
Tradu in:

BeatBanker este un malware sofisticat pentru Android, distribuit prin intermediul unor site-uri web frauduloase, concepute pentru a imita Magazinul Google Play. Campania rău intenționată înșeală utilizatorii să descarce aplicații care par legitime, dar care, de fapt, oferă un troian bancar puternic, combinat cu capacități de minare a criptomonedelor. Odată instalat, malware-ul poate deturna dispozitivul infectat, poate manipula interfețele utilizator și poate efectua tranzacții financiare neautorizate. Eliminarea imediată este esențială atunci când este detectată amenințarea, deoarece funcționarea continuă poate duce la pierderi financiare, încălcări ale confidențialității și compromiterea pe termen lung a dispozitivului.

Execuție fără fișiere și tehnici anti-analiză

După executare, BeatBanker începe prin colectarea informațiilor esențiale despre rețea, inclusiv adresa IP a dispozitivului, tipul dispozitivului, starea de utilizare VPN și detaliile de conectivitate aferente. În loc să stocheze componentele sale rău intenționate ca fișiere în memoria dispozitivului, malware-ul își încarcă codul direct în memorie. Această tehnică de execuție fără fișiere reduce semnificativ probabilitatea de detectare de către instrumentele tradiționale de securitate mobilă.

Pentru a evita și mai mult analiza, BeatBanker verifică dacă rulează într-un mediu de testare sau de cercetare, cum ar fi un emulator sau un sandbox. Dacă sunt detectate astfel de condiții, malware-ul își oprește imediat funcționarea. Acest mecanism defensiv ajută la împiedicarea cercetătorilor în domeniul securității cibernetice și a sistemelor automate să analizeze comportamentul său.

Inginerie socială prin pagini false din Magazinul Google Play

După ce trece verificările de mediu, BeatBanker afișează o interfață contrafăcută, care seamănă foarte mult cu pagina Magazinului Google Play pentru o aplicație etichetată „INSS Reembolso”, susținând în mod fals că este necesară o actualizare de software. Când utilizatorul selectează opțiunea „Actualizare”, malware-ul solicită permisiunea de a instala aplicații și descarcă componente rău intenționate ascunse.

În loc să se bazeze pe infrastructura legitimă Google Play, malware-ul instalează aceste componente direct, abuzând de permisiuni de instalare cu niveluri ridicate. Pentru a menține persistența, malware-ul generează o notificare înșelătoare de actualizare a sistemului și rulează un serviciu în prim-plan care redă în mod silențios fișiere media, împiedicând sistemul de operare să termine procesul rău intenționat.

Minarea criptomonedelor pe dispozitivele victimelor

Una dintre componentele ascunse ale BeatBanker este un miner de criptomonede încorporat într-un fișier descărcat. Această componentă este o versiune modificată a XMRig, concepută pentru a exploata resursele procesorului dispozitivului infectat pentru a mina criptomonede în numele atacatorilor.

Malware-ul gestionează inteligent activitatea de mining prin monitorizarea parametrilor de sistem, cum ar fi nivelul bateriei, temperatura dispozitivului și activitatea utilizatorului. Pe baza acestor condiții, minerul își poate porni sau întrerupe automat operațiunea pentru a reduce suspiciunile și a prelungi infecția.

Mecanisme de furt de criptomonede și troieni bancari

Pe lângă capacitatea de criptominare, BeatBanker implementează un troian bancar care încearcă să obțină permisiuni de accesibilitate. Acordarea acestor permisiuni permite atacatorilor să controleze interfața dispozitivului și să monitorizeze interacțiunile utilizatorilor.

Malware-ul urmărește activ ce aplicații sunt deschise și vizează în mod specific platformele de criptomonede precum Binance și Trust Wallet, concentrându-se în special pe tranzacțiile USDT. Când o victimă inițiază un transfer, BeatBanker suprapune interfața tranzacției legitime cu un ecran fraudulos. În timpul acestui proces, malware-ul înlocuiește în mod silențios adresa destinatarului cu o adresă controlată de atacatori, determinând redirecționarea fondurilor fără conștientizarea victimei.

Modulul bancar evaluează, de asemenea, prezența mai multor browsere mobile utilizate în mod obișnuit și colectează informații de navigare. Poate manipula linkurile salvate în browserul implicit prin adăugarea, editarea, ștergerea sau listarea intrărilor și poate deschide adrese URL furnizate de atacatori.

Capacități de comandă și control și manipularea dispozitivelor

BeatBanker comunică cu un server de comandă și control (C2), permițând atacatorilor să gestioneze de la distanță dispozitivele infectate și să emită comenzi. Prin intermediul acestei infrastructuri, malware-ul poate executa o gamă largă de acțiuni rău intenționate, inclusiv afișarea de actualizări de sistem false, blocarea ecranului dispozitivului, extragerea conținutului clipboard-ului și transmiterea de înregistrări audio către actorii amenințători.

Printre capacitățile suplimentare se numără posibilitatea de a trimite mesaje SMS, de a deschide linkuri controlate de atacatori în browsere, de a actualiza datele de autentificare stocate și de a lista fișierele stocate pe dispozitiv. De asemenea, malware-ul poate efectua acțiuni distructive, cum ar fi ștergerea fișierelor, inițierea unei resetări la setările din fabrică sau dezinstalarea automată pentru a elimina urmele după finalizarea unei operațiuni.

Funcții de supraveghere și exfiltrare a datelor

Dincolo de furtul financiar, BeatBanker funcționează ca un instrument extins de supraveghere. Este capabil să înregistreze apăsările de taste, să extragă textul afișat pe ecran, să facă capturi de ecran și să transmită în timp real ecranul dispozitivului. Monitorizarea continuă a aplicațiilor care rulează permite atacatorilor să observe comportamentul utilizatorilor și să colecteze informații sensibile.

Malware-ul conține, de asemenea, mecanisme suplimentare de control al dispozitivelor, inclusiv monitorizarea aplicațiilor, un firewall încorporat care poate bloca sau permite anumite aplicații, crearea de notificări persistente și capacitatea de a gestiona conexiunile VPN.

Abuzul de permisiuni și mecanismele de persistență

BeatBanker se bazează în mare măsură pe permisiuni Android cu risc ridicat, care îi extind semnificativ controlul asupra dispozitivului. Aceste permisiuni permit malware-ului să mențină persistența, să automatizeze acțiunile și să execute comenzi fără ca utilizatorul să fie conștient.

Printre capacitățile cheie activate de aceste permisiuni se numără:

  • Acces accesibil, permițând atingeri automate, glisări și manipularea interfeței
  • Permisiuni de suprapunere care permit afișarea ecranelor false peste aplicațiile legitime
  • Permisiunea de a instala aplicații din surse necunoscute, permițând instalarea silențioasă a componentelor malițioase suplimentare
  • Capacitatea de a deschide linkuri, de a executa coduri USSD și de a implementa alte pachete malware

Aceste privilegii transformă dispozitivul infectat într-o platformă controlată de la distanță, capabilă să execute operațiuni complexe malițioase.

Variantă emergentă deghizată în aplicație StarLink

Cercetătorii în domeniul securității au identificat o variantă mai nouă a BeatBanker, care se deghizează într-o aplicație StarLink falsă, care vizează utilizatorii de Android. Spre deosebire de versiunile anterioare, această variantă nu instalează componenta tradițională a troianului bancar.

În schimb, implementează troianul de administrare la distanță (RAT) BTMOB. BTMOB oferă atacatorilor acces complet de la distanță la dispozitivele compromise și este distribuit ca Malware-as-a-Service (MaaS), permițând infractorilor cibernetici să achiziționeze și să implementeze instrumentul fără a-și dezvolta propria infrastructură de malware.

Vector de infecție și impact operațional

Infecțiile cu BeatBanker încep de obicei cu o campanie de phishing care direcționează victimele către site-uri web frauduloase concepute să semene cu Magazinul oficial Google Play. Utilizatorii sunt convinși să descarce aplicații rău intenționate care se prezintă drept servicii guvernamentale, cum ar fi „INSS Reembolso” sau aplicații utilitare false similare.

Un dispozitiv devine compromis odată ce victima instalează aplicația contrafăcută. După activare, BeatBanker recuperează componente suplimentare, inclusiv instrumentul de minare a criptomonedelor, și stabilește acces persistent la dispozitiv.

Capacitățile combinate ale malware-ului permit atacatorilor să mineze criptomonede, să fure date financiare, să manipuleze tranzacții și să mențină controlul de la distanță asupra dispozitivelor infectate. Unele variante implementează, de asemenea, programe malware suplimentare, cum ar fi BTMOB, oferind adversarilor acces prelungit și nerestricționat la sistemele compromise.

Trending

Cele mai văzute

Se încarcă...