Multilicenčná zľavová ponuka
Databáza hrozieb Mobilný malvér Bankový trójsky kôň BeatBanker

Bankový trójsky kôň BeatBanker

Do roku Mezo v roku Mobilný malvér, Bankový trójsky kôň
Preložiť do:

BeatBanker je sofistikovaný malvér pre Android distribuovaný prostredníctvom podvodných webových stránok, ktoré sú navrhnuté tak, aby napodobňovali Obchod Google Play. Škodlivá kampaň klame používateľov, aby si stiahli aplikácie, ktoré sa zdajú byť legitímne, ale v skutočnosti obsahujú výkonného bankového trójskeho koňa v kombinácii s možnosťami ťažby kryptomien. Po nainštalovaní môže malvér uniesť infikované zariadenie, manipulovať s používateľskými rozhraniami a vykonávať neoprávnené finančné transakcie. Okamžité odstránenie je nevyhnutné po zistení hrozby, pretože pokračovanie v prevádzke môže viesť k finančným stratám, narušeniu súkromia a dlhodobému ohrozeniu zariadenia.

Techniky bezsúborového vykonávania a antianalýzy

Po spustení BeatBanker začne zhromažďovať základné informácie o sieti vrátane IP adresy zariadenia, typu zariadenia, stavu používania VPN a súvisiacich podrobností o pripojení. Namiesto ukladania svojich škodlivých komponentov ako súborov v úložisku zariadenia malvér načíta svoj kód priamo do pamäte. Táto technika spúšťania bez súborov výrazne znižuje pravdepodobnosť detekcie tradičnými nástrojmi mobilného zabezpečenia.

Aby sa BeatBanker ešte viac vyhol analýze, kontroluje, či beží v testovacom alebo výskumnom prostredí, ako je emulátor alebo sandbox. Ak sa takéto podmienky zistia, malvér okamžite ukončí svoju činnosť. Tento obranný mechanizmus pomáha zabrániť výskumníkom v oblasti kybernetickej bezpečnosti a automatizovaným systémom v analýze jeho správania.

Sociálne inžinierstvo prostredníctvom falošných stránok obchodu Google Play

Po úspešnom absolvovaní kontrol prostredia BeatBanker zobrazí falošné rozhranie, ktoré sa veľmi podobá stránke Obchodu Google Play pre aplikáciu s označením „INSS Reembolso“, pričom nepravdivo tvrdí, že je potrebná aktualizácia softvéru. Keď používateľ vyberie možnosť „Aktualizovať“, malvér požiada o povolenie na inštaláciu aplikácií a stiahne skryté škodlivé komponenty.

Namiesto spoliehania sa na legitímnu infraštruktúru služby Google Play inštaluje malvér tieto komponenty priamo zneužívaním zvýšených oprávnení na inštaláciu. Pre zachovanie trvalosti malvér generuje klamlivé upozornenie na aktualizáciu systému a spúšťa službu v popredí, ktorá ticho prehráva médiá, čím bráni operačnému systému v ukončení škodlivého procesu.

Ťažba kryptomien na zariadeniach obetí

Jedným zo skrytých komponentov BeatBanker je ťažiar kryptomien vložený do stiahnutého súboru. Tento komponent je upravenou verziou XMRig, ktorá je navrhnutá tak, aby zneužívala zdroje procesora infikovaného zariadenia na ťažbu kryptomien v mene útočníkov.

Malvér inteligentne riadi ťažobnú aktivitu monitorovaním systémových parametrov, ako je úroveň nabitia batérie, teplota zariadenia a aktivita používateľa. Na základe týchto podmienok môže ťažobný program automaticky spustiť alebo pozastaviť svoju činnosť, aby sa znížilo podozrenie a predĺžila infekcia.

Mechanizmy krádeže bankových trójskych koní a kryptomien

Popri ťažbe kryptomien BeatBanker nasadzuje aj bankový trójsky kôň, ktorý sa pokúša získať povolenia na prístup. Udelenie týchto povolení umožňuje útočníkom ovládať rozhranie zariadenia a monitorovať interakcie používateľov.

Malvér aktívne sleduje, ktoré aplikácie sú otvorené, a zameriava sa najmä na kryptomenové platformy ako Binance a Trust Wallet, so zameraním na transakcie USDT. Keď obeť iniciuje prevod, BeatBanker prekryje legitímne transakčné rozhranie podvodnou obrazovkou. Počas tohto procesu malvér potichu nahradí zamýšľanú adresu príjemcu adresou kontrolovanou útočníkmi, čo spôsobí presmerovanie finančných prostriedkov bez vedomia obete.

Bankový modul tiež vyhodnocuje prítomnosť niekoľkých bežne používaných mobilných prehliadačov a zhromažďuje informácie o prehliadaní. Dokáže manipulovať s uloženými odkazmi v predvolenom prehliadači pridávaním, úpravou, odstraňovaním alebo zobrazovaním záznamov a dokáže otvárať adresy URL poskytnuté útočníkom.

Schopnosti velenia a riadenia a manipulácia so zariadeniami

BeatBanker komunikuje so serverom velenia a riadenia (C2), čo útočníkom umožňuje vzdialene spravovať infikované zariadenia a vydávať príkazy. Prostredníctvom tejto infraštruktúry môže malvér vykonávať širokú škálu škodlivých akcií vrátane zobrazovania falošných aktualizácií systému, uzamykania obrazovky zariadenia, extrahovania obsahu schránky a prenosu zvukových nahrávok útočníkom.

Medzi ďalšie možnosti patrí možnosť odosielať SMS správy, otvárať odkazy ovládané útočníkom v prehliadačoch, aktualizovať uložené prihlasovacie údaje a zobrazovať zoznam súborov uložených v zariadení. Škodlivý softvér môže tiež vykonávať deštruktívne akcie, ako je mazanie súborov, spustenie obnovenia továrenských nastavení alebo odinštalovanie, aby sa odstránili stopy po dokončení operácie.

Funkcie sledovania a exfiltrácie údajov

Okrem finančných krádeží funguje BeatBanker aj ako rozsiahly nástroj na sledovanie. Dokáže zaznamenávať stlačenia klávesov, extrahovať text zobrazený na obrazovke, zachytávať snímky obrazovky a streamovať obrazovku zariadenia v reálnom čase. Nepretržité monitorovanie spustených aplikácií umožňuje útočníkom pozorovať správanie používateľov a zhromažďovať citlivé informácie.

Malvér obsahuje aj ďalšie mechanizmy na kontrolu zariadení vrátane monitorovania aplikácií, vstavaného firewallu, ktorý dokáže blokovať alebo povoliť vybrané aplikácie, vytvárania trvalých upozornení a možnosti správy VPN pripojení.

Zneužívanie oprávnení a mechanizmy trvalosti

BeatBanker sa vo veľkej miere spolieha na vysoko rizikové povolenia systému Android, ktoré výrazne rozširujú jeho kontrolu nad zariadením. Tieto povolenia umožňujú malvéru udržiavať si trvalosť, automatizovať akcie a vykonávať príkazy bez vedomia používateľa.

Medzi kľúčové funkcie, ktoré tieto povolenia umožňujú, patria:

  • Prístup k funkciám zjednodušeného ovládania, ktorý umožňuje automatizované klepnutia, potiahnutia prstom a manipuláciu s rozhraním
  • Prekrývajúce povolenia, ktoré umožňujú zobrazovanie falošných obrazoviek cez legitímne aplikácie
  • Povolenie na inštaláciu aplikácií z neznámych zdrojov, čo umožňuje tichú inštaláciu ďalších škodlivých komponentov
  • Možnosť otvárať odkazy, spúšťať USSD kódy a nasadzovať ďalšie malware balíčky

Tieto privilégiá transformujú infikované zariadenie na diaľkovo ovládanú platformu schopnú vykonávať zložité škodlivé operácie.

Vznikajúci variant maskovaný ako aplikácia StarLink

Bezpečnostní výskumníci identifikovali novší variant aplikácie BeatBanker, ktorý sa maskuje ako falošná aplikácia StarLink zameraná na používateľov systému Android. Na rozdiel od predchádzajúcich verzií tento variant neinštaluje tradičnú bankovú trójsku súčasť.

Namiesto toho nasadzuje trójskeho koňa pre vzdialenú správu (RAT) BTMOB. BTMOB poskytuje útočníkom plný vzdialený prístup k napadnutým zariadeniam a je distribuovaný ako Malware-as-a-Service (MaaS), čo umožňuje kyberzločincom zakúpiť a nasadiť tento nástroj bez toho, aby si museli vyvíjať vlastnú infraštruktúru malvéru.

Vektor infekcie a prevádzkový dopad

Infekcie vírusom BeatBanker zvyčajne začínajú phishingovou kampaňou, ktorá smeruje obete na podvodné webové stránky navrhnuté tak, aby sa podobali oficiálnemu obchodu Google Play. Používatelia sú presviedčaní, aby si stiahli škodlivé aplikácie, ktoré sa vydávajú za vládne služby, ako napríklad „INSS Reembolso“ alebo podobné falošné aplikácie.

Zariadenie sa stane napadnutým, keď obeť nainštaluje falošnú aplikáciu. Po aktivácii BeatBanker načíta ďalšie komponenty vrátane ťažobného programu kryptomien a vytvorí trvalý prístup k zariadeniu.

Kombinované schopnosti malvéru umožňujú útočníkom ťažiť kryptomeny, kradnúť finančné údaje, manipulovať s transakciami a mať diaľkovú kontrolu nad infikovanými zariadeniami. Niektoré varianty tiež nasadzujú ďalší malvér, ako napríklad BTMOB, ktorý útočníkom poskytuje dlhodobý a neobmedzený prístup k napadnutým systémom.

Trendy

Najviac videné

Načítava...