BeatBanker Banking Trojan

BeatBanker është një program keqdashës i sofistikuar për Android, i shpërndarë përmes faqeve mashtruese të internetit, të dizajnuara për të imituar Google Play Store. Fushata keqdashëse i mashtron përdoruesit duke i bërë ata të shkarkojnë aplikacione që duken të ligjshme, por në të vërtetë ofrojnë një Trojan të fuqishëm bankar të kombinuar me aftësi minierimi të kriptomonedhave. Pasi të instalohet, programi keqdashës mund të rrëmbejë pajisjen e infektuar, të manipulojë ndërfaqet e përdoruesit dhe të kryejë transaksione financiare të paautorizuara. Heqja e menjëhershme është thelbësore kur zbulohet kërcënimi, pasi funksionimi i vazhdueshëm mund të rezultojë në humbje financiare, shkelje të privatësisë dhe kompromentim afatgjatë të pajisjes.

Ekzekutimi pa skedarë dhe teknikat kundër analizës

Pas ekzekutimit, BeatBanker fillon duke mbledhur informacione thelbësore të rrjetit, duke përfshirë adresën IP të pajisjes, llojin e pajisjes, statusin e përdorimit të VPN-së dhe detajet përkatëse të lidhjes. Në vend që të ruajë komponentët e tij keqdashës si skedarë në memorien e pajisjes, programi keqdashës ngarkon kodin e tij direkt në memorie. Kjo teknikë ekzekutimi pa skedar zvogëlon ndjeshëm mundësinë e zbulimit nga mjetet tradicionale të sigurisë mobile.

Për të shmangur më tej analizën, BeatBanker kontrollon nëse po funksionon brenda një mjedisi testimi ose kërkimi, siç është një emulator ose sandbox. Nëse zbulohen kushte të tilla, programi keqdashës ndërpret menjëherë funksionimin e tij. Ky mekanizëm mbrojtës ndihmon në parandalimin e studiuesve të sigurisë kibernetike dhe sistemeve të automatizuara nga analizimi i sjelljes së tij.

Inxhinieri sociale nëpërmjet faqeve të rreme të Google Play Store

Pasi kalon kontrollet e mjedisit, BeatBanker shfaq një ndërfaqe të rreme që i ngjan shumë faqes së Google Play Store për një aplikacion të etiketuar 'INSS Reembolso', duke pretenduar në mënyrë të rreme se kërkohet një përditësim i softuerit. Kur përdoruesi zgjedh opsionin 'Përditëso', programi keqdashës kërkon leje për të instaluar aplikacione dhe për të shkarkuar komponentë të fshehur keqdashës.

Në vend që të mbështetet në infrastrukturën legjitime të Google Play, programi keqdashës i instalon këto komponentë direkt duke abuzuar me lejet e larta të instalimit. Për të ruajtur qëndrueshmërinë, programi keqdashës gjeneron një njoftim mashtrues për përditësimin e sistemit dhe ekzekuton një shërbim në plan të parë që luan në heshtje media, duke e penguar sistemin operativ të ndërpresë procesin keqdashës.

Miniera e kriptomonedhave në pajisjet e viktimave

Një nga ngarkesat e fshehura të BeatBanker është një minator kriptomonedhash i integruar brenda një skedari të shkarkuar. Ky komponent është një version i modifikuar i XMRig i projektuar për të shfrytëzuar burimet e CPU-së së pajisjes së infektuar për të minuar kriptomonedha në emër të sulmuesve.

Malware-i menaxhon në mënyrë inteligjente aktivitetin e minierave duke monitoruar parametrat e sistemit si niveli i baterisë, temperatura e pajisjes dhe aktiviteti i përdoruesit. Bazuar në këto kushte, minatori mund të fillojë ose të ndërpresë automatikisht funksionimin e tij për të zvogëluar dyshimet dhe për të zgjatur infeksionin.

Mekanizmat e Vjedhjes së Trojanëve Bankarë dhe Kriptomonedhave

Krahas aftësisë së minierimit të kriptomonedhave, BeatBanker vendos një Trojan bankar që përpiqet të marrë leje aksesibiliteti. Dhënia e këtyre lejeve u lejon sulmuesve të kontrollojnë ndërfaqen e pajisjes dhe të monitorojnë ndërveprimet e përdoruesve.

Malware gjurmon në mënyrë aktive se cilat aplikacione hapen dhe synon konkretisht platformat e kriptomonedhave si Binance dhe Trust Wallet, me një fokus të veçantë në transaksionet USDT. Kur një viktimë fillon një transferim, BeatBanker mbivendos ndërfaqen legjitime të transaksionit me një ekran mashtrues. Gjatë këtij procesi, malware zëvendëson në heshtje adresën e marrësit të synuar me një adresë të kontrolluar nga sulmuesit, duke bërë që fondet të ridrejtohen pa dijeninë e viktimës.

Moduli bankar vlerëson gjithashtu praninë e disa shfletuesve celularë që përdoren zakonisht dhe mbledh informacione mbi shfletimin. Ai mund të manipulojë lidhjet e ruajtura brenda shfletuesit të parazgjedhur duke shtuar, modifikuar, fshirë ose renditur hyrjet, dhe mund të hapë URL-të e ofruara nga sulmuesit.

Aftësitë e Komandës dhe Kontrollit dhe Manipulimi i Pajisjeve

BeatBanker komunikon me një server komande dhe kontrolli (C2), duke u lejuar sulmuesve të menaxhojnë nga distanca pajisjet e infektuara dhe të lëshojnë komanda. Përmes kësaj infrastrukture, programi keqdashës mund të ekzekutojë një gamë të gjerë veprimesh keqdashëse, duke përfshirë shfaqjen e përditësimeve të rreme të sistemit, bllokimin e ekranit të pajisjes, nxjerrjen e përmbajtjes së kujtesës dhe transmetimin e regjistrimeve audio te aktorët kërcënues.

Aftësi të tjera përfshijnë mundësinë për të dërguar mesazhe SMS, për të hapur lidhje të kontrolluara nga sulmuesit në shfletues, për të përditësuar kredencialet e ruajtura dhe për të listuar skedarët e ruajtur në pajisje. Malware gjithashtu mund të kryejë veprime shkatërruese, të tilla si fshirja e skedarëve, fillimi i një rivendosjeje në cilësimet e fabrikës ose çinstalimi i vetes për të hequr gjurmët pas përfundimit të një operacioni.

Veçoritë e Mbikqyrjes dhe Eksfiltrimit të të Dhënave

Përtej vjedhjes financiare, BeatBanker funksionon si një mjet i gjerë mbikëqyrjeje. Është i aftë të regjistrojë shtypjet e tastierës, të nxjerrë tekstin e shfaqur në ekran, të kapë pamje të ekranit dhe të transmetojë ekranin e pajisjes në kohë reale. Monitorimi i vazhdueshëm i aplikacioneve në funksionim u lejon sulmuesve të vëzhgojnë sjelljen e përdoruesit dhe të mbledhin informacione të ndjeshme.

Malware përmban gjithashtu mekanizma shtesë të kontrollit të pajisjes, duke përfshirë monitorimin e aplikacioneve, një firewall të integruar që mund të bllokojë ose lejojë aplikacione të zgjedhura, krijimin e vazhdueshëm të njoftimeve dhe aftësinë për të menaxhuar lidhjet VPN.

Mekanizmat e Abuzimit të Lejeve dhe Vazhdimësisë

BeatBanker mbështetet shumë në lejet e Android me rrezik të lartë që zgjerojnë ndjeshëm kontrollin e tij mbi pajisjen. Këto leje i lejojnë malware-it të ruajë qëndrueshmërinë, të automatizojë veprimet dhe të ekzekutojë komanda pa dijeninë e përdoruesit.

Aftësitë kryesore të mundësuara nga këto leje përfshijnë:

• Qasje e aksesueshmërisë, duke lejuar prekje automatike, rrëshqitje dhe manipulim të ndërfaqes
• Lejet e mbivendosjes që mundësojnë shfaqjen e ekraneve të rreme mbi aplikacione legjitime
• Leja për të instaluar aplikacione nga burime të panjohura, duke mundësuar instalimin e heshtur të komponentëve shtesë keqdashës
• Mundësia për të hapur lidhje, për të ekzekutuar kode USSD dhe për të vendosur paketa të mëtejshme malware

Këto privilegje e transformojnë pajisjen e infektuar në një platformë të kontrolluar nga distanca, të aftë për të ekzekutuar operacione komplekse dashakeqe.

Variant në zhvillim i maskuar si një aplikacion StarLink

Studiuesit e sigurisë kanë identifikuar një variant më të ri të BeatBanker që maskohet si një aplikacion i rremë StarLink që synon përdoruesit e Android. Ndryshe nga versionet e mëparshme, ky variant nuk instalon komponentin tradicional të Trojanit bankar.

Në vend të kësaj, ai vendos Trojanin e administrimit në distancë BTMOB (RAT). BTMOB u jep sulmuesve akses të plotë në distancë në pajisjet e kompromentuara dhe shpërndahet si Malware-as-a-Service (MaaS), duke u mundësuar kriminelëve kibernetikë të blejnë dhe të vendosin mjetin pa zhvilluar infrastrukturën e tyre të malware-it.

Vektori i Infeksionit dhe Ndikimi Operacional

Infeksionet BeatBanker zakonisht fillojnë me një fushatë phishing që i drejton viktimat në faqe interneti mashtruese të dizajnuara për t'iu ngjarë Dyqanit zyrtar Google Play. Përdoruesit binden të shkarkojnë aplikacione dashakeqe që paraqiten si shërbime të lidhura me qeverinë, të tilla si 'INSS Reembolso' ose aplikacione të ngjashme të rreme të shërbimeve.

Një pajisje kompromentohet pasi viktima instalon aplikacionin e falsifikuar. Pas aktivizimit, BeatBanker rikuperon komponentë shtesë, duke përfshirë minatorin e kriptomonedhave, dhe krijon akses të vazhdueshëm në pajisje.

Aftësitë e kombinuara të malware-it u lejojnë sulmuesve të minojnë kriptomonedha, të vjedhin të dhëna financiare, të manipulojnë transaksionet dhe të ruajnë kontrollin e largët mbi pajisjet e infektuara. Disa variante gjithashtu vendosin malware shtesë si BTMOB, duke u dhënë kundërshtarëve akses të zgjatur dhe të pakufizuar në sistemet e kompromentuara.