Банкарски тројански кон BeatBanker
БитБанкер је софистицирани Андроид малвер који се дистрибуира путем лажних веб-сајтова дизајнираних да имитирају Гугл Плеј продавницу. Злонамерна кампања обмањује кориснике да преузму апликације које изгледају легитимно, али заправо испоручују моћног банкарског тројанца комбинованог са могућностима рударења криптовалута. Једном инсталиран, малвер може да отме заражени уређај, манипулише корисничким интерфејсима и обавља неовлашћене финансијске трансакције. Хитно уклањање је неопходно када се претња открије, јер континуирани рад може довести до финансијских губитака, кршења приватности и дугорочног угрожавања уређаја.
Преглед садржаја
Технике извршавања без датотека и анти-анализа
Након извршавања, BeatBanker почиње са прикупљањем основних информација о мрежи, укључујући IP адресу уређаја, тип уређаја, статус коришћења VPN-а и повезане детаље о повезивању. Уместо да чува своје злонамерне компоненте као датотеке на меморији уређаја, злонамерни софтвер учитава свој код директно у меморију. Ова техника извршавања без датотека значајно смањује вероватноћу откривања од стране традиционалних алата за мобилну безбедност.
Да би додатно избегао анализу, BeatBanker проверава да ли ради у окружењу за тестирање или истраживање, као што је емулатор или „песак“. Ако се такви услови открију, злонамерни софтвер одмах прекида свој рад. Овај одбрамбени механизам помаже у спречавању истраживача сајбер безбедности и аутоматизованих система да анализирају његово понашање.
Социјални инжењеринг путем лажних страница Google Play продавнице
Након што прође провере окружења, BeatBanker приказује лажни интерфејс који веома подсећа на страницу Google Play продавнице за апликацију под називом „INSS Reembolso“, лажно тврдећи да је потребно ажурирање софтвера. Када корисник изабере опцију „Ажурирај“, злонамерни софтвер захтева дозволу за инсталирање апликација и преузима скривене злонамерне компоненте.
Уместо да се ослања на легитимну инфраструктуру Google Play-а, злонамерни софтвер инсталира ове компоненте директно злоупотребљавајући повишене дозволе за инсталацију. Да би одржао постојаност, злонамерни софтвер генерише обмањујуће обавештење о ажурирању система и покреће услугу у првом плану која тихо репродукује медије, спречавајући оперативни систем да прекине злонамерни процес.
Рударење криптовалута на уређајима жртава
Један од скривених корисних садржаја BeatBanker-а је рудар криптовалута уграђен у преузету датотеку. Ова компонента је модификована верзија XMRig-а дизајнирана да искористи ресурсе процесора зараженог уређаја за рударење криптовалута у име нападача.
Злонамерни софтвер интелигентно управља активностима рударења праћењем системских параметара као што су ниво батерије, температура уређаја и активност корисника. На основу ових услова, рудар може аутоматски покренути или паузирати свој рад како би смањио сумњу и продужио инфекцију.
Механизми крађе банкарских тројанаца и криптовалута
Уз могућност рударења криптовалута, BeatBanker користи банкарског тројанца који покушава да добије дозволе за приступ. Додељивање ових дозвола омогућава нападачима да контролишу интерфејс уређаја и прате интеракције корисника.
Злонамерни софтвер активно прати које се апликације отварају и посебно циља платформе за криптовалуте као што су Binance и Trust Wallet, са посебним фокусом на USDT трансакције. Када жртва покрене трансфер, BeatBanker прекрива легитимни интерфејс трансакције лажним екраном. Током овог процеса, злонамерни софтвер тихо замењује адресу намењеног примаоца адресом коју контролишу нападачи, узрокујући преусмеравање средстава без свести жртве.
Банкарски модул такође процењује присуство неколико често коришћених мобилних прегледача и прикупља информације о прегледању. Може да манипулише сачуваним линковима унутар подразумеваног прегледача додавањем, уређивањем, брисањем или навођењем уноса, а може и да отвара URL-ове које је навео нападач.
Могућности командовања и контроле и манипулација уређајима
БитБанкер комуницира са командно-контролним (C2) сервером, омогућавајући нападачима да даљински управљају зараженим уређајима и издају команде. Преко ове инфраструктуре, малвер може да изврши широк спектар злонамерних радњи, укључујући приказивање лажних системских ажурирања, закључавање екрана уређаја, издвајање садржаја међуспремника и преношење аудио снимака актерима претње.
Додатне могућности укључују могућност слања СМС порука, отварања линкова које контролишу нападачи у прегледачима, ажурирања сачуваних акредитива и листања датотека сачуваних на уређају. Злонамерни софтвер такође може да обавља деструктивне радње као што су брисање датотека, покретање враћања на фабричка подешавања или деинсталирање самог себе ради уклањања трагова након завршетка операције.
Функције надзора и ексфилтрације података
Поред финансијске крађе, BeatBanker функционише као опсежан алат за надзор. Способан је да снима притиске на тастатуре, издваја текст приказан на екрану, прави снимке екрана и стримује екран уређаја у реалном времену. Континуирано праћење покренутих апликација омогућава нападачима да посматрају понашање корисника и прикупљају осетљиве информације.
Злонамерни софтвер такође садржи додатне механизме за контролу уређаја, укључујући праћење апликација, уграђени заштитни зид који може блокирати или дозволити одабране апликације, креирање сталних обавештења и могућност управљања VPN везама.
Злоупотреба дозвола и механизми истрајности
БитБанкер се у великој мери ослања на високоризичне дозволе за Андроид које значајно проширују његову контролу над уређајем. Ове дозволе омогућавају злонамерном софтверу да одржава постојаност, аутоматизује радње и извршава команде без свесности корисника.
Кључне могућности које омогућавају ове дозволе укључују:
- Приступачност, омогућавајући аутоматизоване додире, превлачења и манипулацију интерфејсом
- Дозволе за преклапање које омогућавају приказивање лажних екрана преко легитимних апликација
- Дозвола за инсталирање апликација из непознатих извора, омогућавајући тиху инсталацију додатних злонамерних компоненти
- Могућност отварања линкова, извршавања USSD кодова и постављања додатних злонамерних пакета
Ове привилегије трансформишу заражени уређај у даљински контролисану платформу способну за извршавање сложених злонамерних операција.
Нова варијанта прерушена у СтарЛинк апликацију
Истраживачи безбедности идентификовали су новију варијанту апликације BeatBanker која се маскира као лажна StarLink апликација усмерена на кориснике Андроида. За разлику од ранијих верзија, ова варијанта не инсталира традиционалну компоненту банкарског тројанца.
Уместо тога, користи тројанца за даљинско управљање BTMOB (RAT). BTMOB омогућава нападачима потпун даљински приступ угроженим уређајима и дистрибуира се као „малвер као услуга“ (MaaS), омогућавајући сајбер криминалцима да купе и примене алат без развоја сопствене инфраструктуре малвера.
Вектор инфекције и оперативни утицај
Инфекције вирусом BeatBanker обично почињу фишинг кампањом која усмерава жртве на лажне веб странице дизајниране да личе на званичну Google Play продавницу. Корисници се наговарају да преузму злонамерне апликације које се представљају као владине услуге, као што је „INSS Reembolso“ или сличне лажне услужне апликације.
Уређај постаје угрожен када жртва инсталира фалсификовану апликацију. Након активације, BeatBanker преузима додатне компоненте, укључујући и рудар криптовалута, и успоставља трајни приступ уређају.
Комбиноване могућности малвера омогућавају нападачима да рударе криптовалуте, краду финансијске податке, манипулишу трансакцијама и одржавају даљинску контролу над зараженим уређајима. Неке варијанте такође користе додатни малвер као што је BTMOB, дајући противницима продужени и неограничени приступ угроженим системима.
