BeatBanker Банковский троян

К Mezo году в Вредоносное ПО для мобильных устройств, Банковский троян году

Перевести на:

BeatBanker — это сложная вредоносная программа для Android, распространяемая через мошеннические веб-сайты, имитирующие Google Play Store. Вредоносная кампания обманывает пользователей, заставляя их загружать приложения, которые выглядят легитимными, но на самом деле содержат мощный банковский троян, сочетающий в себе возможности майнинга криптовалюты. После установки вредоносная программа может захватить зараженное устройство, манипулировать пользовательским интерфейсом и совершать несанкционированные финансовые операции. Немедленное удаление при обнаружении угрозы крайне важно, поскольку дальнейшая работа может привести к финансовым потерям, нарушению конфиденциальности и долгосрочной компрометации устройства.

Оглавление

Бесфайловое выполнение и методы противодействия анализу

При запуске BeatBanker начинает сбор важной сетевой информации, включая IP-адрес устройства, тип устройства, статус использования VPN и другие сведения о подключении. Вместо хранения вредоносных компонентов в виде файлов во внутренней памяти устройства, вредоносная программа загружает свой код непосредственно в память. Этот метод выполнения без использования файлов значительно снижает вероятность обнаружения традиционными средствами мобильной безопасности.

Чтобы еще больше избежать анализа, BeatBanker проверяет, работает ли он в тестовой или исследовательской среде, например, в эмуляторе или песочнице. Если такие условия обнаружены, вредоносная программа немедленно прекращает свою работу. Этот защитный механизм помогает предотвратить анализ его поведения исследователями кибербезопасности и автоматизированными системами.

Социальная инженерия с помощью поддельных страниц Google Play Store

После прохождения проверок среды BeatBanker отображает поддельный интерфейс, очень похожий на страницу приложения «INSS Reembolso» в Google Play Store, ложно утверждая, что требуется обновление программного обеспечения. Когда пользователь выбирает опцию «Обновить», вредоносная программа запрашивает разрешение на установку приложений и загружает скрытые вредоносные компоненты.

Вместо того чтобы полагаться на легитимную инфраструктуру Google Play, вредоносная программа устанавливает эти компоненты напрямую, используя расширенные права на установку. Для обеспечения постоянного присутствия в системе вредоносная программа генерирует обманчивое уведомление об обновлении системы и запускает службу на переднем плане, которая незаметно воспроизводит медиафайлы, не позволяя операционной системе завершить вредоносный процесс.

Добыча криптовалюты на устройствах жертв.

Одна из скрытых вредоносных программ BeatBanker — это встроенный в загруженный файл майнер криптовалюты. Этот компонент представляет собой модифицированную версию XMRig, предназначенную для использования ресурсов процессора зараженного устройства для майнинга криптовалюты от имени злоумышленников.

Вредоносная программа интеллектуально управляет майнингом, отслеживая системные параметры, такие как уровень заряда батареи, температура устройства и активность пользователя. На основе этих условий майнер может автоматически запускать или приостанавливать свою работу, чтобы снизить вероятность обнаружения и продлить заражение.

Банковские трояны и механизмы кражи криптовалюты

Помимо возможности майнинга криптовалюты, BeatBanker использует банковский троян, который пытается получить права доступа к специальным функциям. Предоставление этих прав позволяет злоумышленникам контролировать интерфейс устройства и отслеживать действия пользователя.

Вредоносная программа активно отслеживает, какие приложения открываются, и целенаправленно атакует криптовалютные платформы, такие как Binance и Trust Wallet, уделяя особое внимание транзакциям с USDT. Когда жертва инициирует перевод, BeatBanker накладывает на легитимный интерфейс транзакции мошеннический экран. В ходе этого процесса вредоносная программа незаметно заменяет предполагаемый адрес получателя адресом, контролируемым злоумышленниками, в результате чего средства перенаправляются без ведома жертвы.

Банковский модуль также проверяет наличие нескольких распространенных мобильных браузеров и собирает информацию о просмотре веб-страниц. Он может манипулировать сохраненными ссылками в браузере по умолчанию, добавляя, редактируя, удаляя или отображая записи, а также открывать URL-адреса, предоставленные злоумышленником.

Возможности управления и контроля, а также манипулирование устройствами.

BeatBanker взаимодействует с сервером управления и контроля (C2), позволяя злоумышленникам удаленно управлять зараженными устройствами и отдавать команды. Через эту инфраструктуру вредоносное ПО может выполнять широкий спектр вредоносных действий, включая отображение поддельных системных обновлений, блокировку экрана устройства, извлечение содержимого буфера обмена и передачу аудиозаписей злоумышленникам.

Дополнительные возможности включают отправку SMS-сообщений, открытие контролируемых злоумышленником ссылок в браузерах, обновление сохраненных учетных данных и отображение списка файлов, хранящихся на устройстве. Вредоносная программа также может выполнять деструктивные действия, такие как удаление файлов, инициирование сброса к заводским настройкам или самоудаление для удаления следов после завершения операции.

Функции наблюдения и утечки данных

Помимо финансовых краж, BeatBanker функционирует как многофункциональный инструмент слежки. Он способен записывать нажатия клавиш, извлекать текст, отображаемый на экране, делать скриншоты и транслировать изображение с экрана устройства в режиме реального времени. Непрерывный мониторинг запущенных приложений позволяет злоумышленникам наблюдать за поведением пользователей и собирать конфиденциальную информацию.

Вредоносная программа также содержит дополнительные механизмы контроля устройства, включая мониторинг приложений, встроенный брандмауэр, который может блокировать или разрешать выбранные приложения, создание постоянных уведомлений и возможность управления VPN-соединениями.

Злоупотребление правами доступа и механизмы сохранения данных

BeatBanker в значительной степени полагается на высокорискованные разрешения Android, которые существенно расширяют его контроль над устройством. Эти разрешения позволяют вредоносной программе сохранять свою активность, автоматизировать действия и выполнять команды без ведома пользователя.

К основным возможностям, которые обеспечивают эти разрешения, относятся:

Доступность для людей с ограниченными возможностями, позволяющая автоматически нажимать, проводить пальцем по экрану и манипулировать интерфейсом.
Разрешения на наложение, позволяющие отображать поддельные экраны поверх легитимных приложений.
Разрешение на установку приложений из неизвестных источников, позволяющее осуществлять скрытую установку дополнительных вредоносных компонентов.
Возможность открывать ссылки, запускать USSD-коды и развертывать дополнительные пакеты вредоносного ПО.

Эти привилегии превращают зараженное устройство в удаленно управляемую платформу, способную выполнять сложные вредоносные операции.

Появление нового варианта, замаскированного под приложение StarLink.

Специалисты по информационной безопасности обнаружили новый вариант BeatBanker, который маскируется под поддельное приложение StarLink, нацеленное на пользователей Android. В отличие от более ранних версий, этот вариант не устанавливает традиционный банковский троянский компонент.

Вместо этого используется троянская программа удаленного администрирования BTMOB (RAT). BTMOB предоставляет злоумышленникам полный удаленный доступ к скомпрометированным устройствам и распространяется как вредоносное ПО как услуга (MaaS), что позволяет киберпреступникам приобретать и развертывать этот инструмент, не разрабатывая собственную инфраструктуру вредоносного ПО.

Влияние переносчиков инфекции и оперативных мер

Вирус BeatBanker обычно начинается с фишинговой кампании, в ходе которой жертв перенаправляют на мошеннические веб-сайты, имитирующие официальный магазин Google Play. Пользователей убеждают загрузить вредоносные приложения, выдающие себя за государственные сервисы, такие как «INSS Reembolso» или аналогичные поддельные утилиты.

Устройство становится скомпрометированным после установки жертвой поддельного приложения. После активации BeatBanker извлекает дополнительные компоненты, включая майнер криптовалюты, и устанавливает постоянный доступ к устройству.

Совокупные возможности вредоносного ПО позволяют злоумышленникам добывать криптовалюту, красть финансовые данные, манипулировать транзакциями и удаленно контролировать зараженные устройства. Некоторые варианты также используют дополнительное вредоносное ПО, такое как BTMOB, предоставляя противникам длительный и неограниченный доступ к скомпрометированным системам.

Подача заявления о банкротстве платежного процессора EnigmaSoft Digital River GmbH не повлияет на защиту клиентов SpyHunter от вредоносного ПО

Поиск

Изменить регион

BeatBanker Банковский троян

Бесфайловое выполнение и методы противодействия анализу

Социальная инженерия с помощью поддельных страниц Google Play Store

Добыча криптовалюты на устройствах жертв.

Банковские трояны и механизмы кражи криптовалюты

Возможности управления и контроля, а также манипулирование устройствами.

Функции наблюдения и утечки данных

Злоупотребление правами доступа и механизмы сохранения данных

Появление нового варианта, замаскированного под приложение StarLink.

Влияние переносчиков инфекции и оперативных мер

Отправить комментарий

В тренде

Precludestore.com

Tarwils.com

Suddslife.com

Наиболее просматриваемые

Как исправить ошибку "Драйвер принтера недоступен"

Как исправить «macOS не может проверить, что это...

Discord показывает черный экран при совместном...