Bančni trojanec BeatBanker
BeatBanker je sofisticirana zlonamerna programska oprema za Android, ki se distribuira prek goljufivih spletnih mest, zasnovanih za posnemanje trgovine Google Play. Zlonamerna kampanja zavaja uporabnike, da prenesejo aplikacije, ki so videti legitimne, a v resnici prenašajo močnega bančnega trojanca v kombinaciji z zmožnostmi rudarjenja kriptovalut. Ko je zlonamerna programska oprema nameščena, lahko ugrabi okuženo napravo, manipulira z uporabniškimi vmesniki in izvaja nepooblaščene finančne transakcije. Takojšnja odstranitev je bistvenega pomena, ko je grožnja zaznana, saj lahko nadaljnje delovanje povzroči finančne izgube, kršitve zasebnosti in dolgoročno ogrožanje naprave.
Kazalo
Tehnike izvajanja brez datotek in antianalize
Po zagonu BeatBanker začne z zbiranjem bistvenih omrežnih podatkov, vključno z IP-naslovom naprave, vrsto naprave, stanjem uporabe VPN-ja in podrobnostmi o povezljivosti. Namesto shranjevanja zlonamernih komponent kot datotek v pomnilniku naprave zlonamerna programska oprema naloži svojo kodo neposredno v pomnilnik. Ta tehnika izvajanja brez datotek znatno zmanjša verjetnost odkritja s strani tradicionalnih orodij za mobilno varnost.
Da bi se še bolj izognili analizi, BeatBanker preveri, ali se izvaja v testnem ali raziskovalnem okolju, kot je emulator ali peskovnik. Če so takšni pogoji zaznani, zlonamerna programska oprema takoj prekine svoje delovanje. Ta obrambni mehanizem preprečuje raziskovalcem kibernetske varnosti in avtomatiziranim sistemom, da bi analizirali njeno vedenje.
Socialni inženiring prek lažnih strani trgovine Google Play
Po preverjenju okolja BeatBanker prikaže ponarejen vmesnik, ki je zelo podoben strani trgovine Google Play za aplikacijo z oznako »INSS Reembolso«, in lažno trdi, da je potrebna posodobitev programske opreme. Ko uporabnik izbere možnost »Posodobi«, zlonamerna programska oprema zahteva dovoljenje za namestitev aplikacij in prenese skrite zlonamerne komponente.
Namesto da bi se zanašala na legitimno infrastrukturo Google Play, zlonamerna programska oprema te komponente namesti neposredno z zlorabo povišanih dovoljenj za namestitev. Za ohranitev trajnosti zlonamerna programska oprema ustvari zavajajoče obvestilo o posodobitvi sistema in zažene storitev v ospredju, ki tiho predvaja medije, s čimer prepreči operacijskemu sistemu, da bi prekinil zlonamerni proces.
Rudarjenje kriptovalut na napravah žrtev
Eden od skritih koristnih naprav BeatBankerja je rudar kriptovalut, vdelan v preneseno datoteko. Ta komponenta je spremenjena različica XMRig, zasnovana za izkoriščanje virov procesorja okužene naprave za rudarjenje kriptovalut v imenu napadalcev.
Zlonamerna programska oprema inteligentno upravlja rudarjenje s spremljanjem sistemskih parametrov, kot so raven napolnjenosti baterije, temperatura naprave in aktivnost uporabnika. Na podlagi teh pogojev lahko rudar samodejno zažene ali ustavi svoje delovanje, da zmanjša sum in podaljša okužbo.
Mehanizmi kraje bančnih trojancev in kriptovalut
Poleg rudarjenja kriptovalut BeatBanker uporablja tudi bančnega trojanca, ki poskuša pridobiti dovoljenja za dostop. Podelitev teh dovoljenj napadalcem omogoča nadzor nad vmesnikom naprave in spremljanje interakcij uporabnikov.
Zlonamerna programska oprema aktivno sledi, katere aplikacije se odpirajo, in cilja na platforme kriptovalut, kot sta Binance in Trust Wallet, s posebnim poudarkom na transakcijah USDT. Ko žrtev sproži prenos, BeatBanker prekrije legitimni vmesnik za transakcijo z goljufivim zaslonom. Med tem postopkom zlonamerna programska oprema tiho zamenja predvideni naslov prejemnika z naslovom, ki ga nadzorujejo napadalci, zaradi česar se sredstva preusmerijo brez zavedanja žrtve.
Bančni modul ocenjuje tudi prisotnost več pogosto uporabljenih mobilnih brskalnikov in zbira podatke o brskanju. Shranjene povezave v privzetem brskalniku lahko manipulira z dodajanjem, urejanjem, brisanjem ali naštevanjem vnosov ter odpira URL-je, ki jih posredujejo napadalci.
Zmogljivosti vodenja in nadzora ter manipulacija z napravami
BeatBanker komunicira s strežnikom za upravljanje in nadzor (C2), kar napadalcem omogoča oddaljeno upravljanje okuženih naprav in izdajanje ukazov. Prek te infrastrukture lahko zlonamerna programska oprema izvaja širok nabor zlonamernih dejanj, vključno s prikazovanjem lažnih sistemskih posodobitev, zaklepanjem zaslona naprave, izvlečenjem vsebine odložišča in pošiljanjem zvočnih posnetkov akterjem grožnje.
Dodatne zmogljivosti vključujejo možnost pošiljanja SMS sporočil, odpiranja povezav, ki jih nadzorujejo napadalci, v brskalnikih, posodabljanja shranjenih poverilnic in seznama datotek, shranjenih v napravi. Zlonamerna programska oprema lahko izvaja tudi uničujoča dejanja, kot so brisanje datotek, ponastavitev na tovarniške nastavitve ali odstranitev same sebe, da odstrani sledi po zaključku operacije.
Funkcije nadzora in ekstrakcije podatkov
Poleg finančne kraje BeatBanker deluje tudi kot obsežno orodje za nadzor. Zmožen je snemati pritiske tipk, izvleči besedilo, prikazano na zaslonu, zajeti posnetke zaslona in pretakati zaslon naprave v realnem času. Neprekinjeno spremljanje delujočih aplikacij napadalcem omogoča opazovanje vedenja uporabnikov in zbiranje občutljivih informacij.
Zlonamerna programska oprema vsebuje tudi dodatne mehanizme za nadzor naprav, vključno s spremljanjem aplikacij, vgrajenim požarnim zidom, ki lahko blokira ali dovoli izbrane aplikacije, ustvarjanjem trajnih obvestil in možnostjo upravljanja povezav VPN.
Zloraba dovoljenj in mehanizmi za ohranitev
BeatBanker se močno zanaša na visoko tvegana dovoljenja za Android, ki znatno razširjajo njegov nadzor nad napravo. Ta dovoljenja omogočajo zlonamerni programski opremi, da ohranja obstojnost, avtomatizira dejanja in izvaja ukaze brez uporabnikove vednosti.
Ključne zmogljivosti, ki jih omogočajo ta dovoljenja, vključujejo:
- Dostop do dostopnosti, ki omogoča avtomatizirane tapke, potege in manipulacijo vmesnika
- Prekrivna dovoljenja, ki omogočajo prikaz lažnih zaslonov prek legitimnih aplikacij
- Dovoljenje za namestitev aplikacij iz neznanih virov, kar omogoča tiho namestitev dodatnih zlonamernih komponent
- Možnost odpiranja povezav, izvajanja USSD-kod in nameščanja nadaljnjih paketov zlonamerne programske opreme
Te privilegije okuženo napravo spremenijo v platformo, ki je na daljavo nadzorovana in je sposobna izvajati kompleksne zlonamerne operacije.
Nastajajoča različica, prikrita kot aplikacija StarLink
Varnostni raziskovalci so odkrili novejšo različico BeatBankerja, ki se maskira kot lažna aplikacija StarLink, namenjena uporabnikom Androida. Za razliko od prejšnjih različic ta različica ne namešča tradicionalne komponente bančnega trojanca.
Namesto tega uporablja trojanca za oddaljeno upravljanje (RAT) BTMOB. BTMOB napadalcem omogoča popoln oddaljeni dostop do ogroženih naprav in se distribuira kot zlonamerna programska oprema kot storitev (MaaS), kar kibernetskim kriminalcem omogoča nakup in uporabo orodja, ne da bi razvili lastno infrastrukturo zlonamerne programske opreme.
Vektor okužbe in operativni vpliv
Okužbe z BeatBankerjem se običajno začnejo s kampanjo lažnega predstavljanja, ki žrtve usmeri na goljufiva spletna mesta, zasnovana tako, da spominjajo na uradno trgovino Google Play. Uporabnike prepričajo, da prenesejo zlonamerne aplikacije, ki se izdajajo za vladne storitve, kot je »INSS Reembolso« ali podobne lažne uporabne aplikacije.
Naprava postane ogrožena, ko žrtev namesti ponarejeno aplikacijo. Po aktivaciji BeatBanker pridobi dodatne komponente, vključno z rudarjem kriptovalut, in vzpostavi trajen dostop do naprave.
Kombinirane zmogljivosti zlonamerne programske opreme napadalcem omogočajo rudarjenje kriptovalut, krajo finančnih podatkov, manipulacijo transakcij in vzdrževanje oddaljenega nadzora nad okuženimi napravami. Nekatere različice uporabljajo tudi dodatno zlonamerno programsko opremo, kot je BTMOB, kar nasprotnikom omogoča dolgotrajen in neomejen dostop do ogroženih sistemov.
