Multi-License Discount Quote
Banta sa Database Mobile Malware Trojan sa Pagbabangko ng BeatBanker

Trojan sa Pagbabangko ng BeatBanker

Sa pamamagitan ng Mezo sa Mobile Malware, Trojan sa pagbabangko
Isalin To:

Ang BeatBanker ay isang sopistikadong malware sa Android na ipinamamahagi sa pamamagitan ng mga mapanlinlang na website na idinisenyo upang gayahin ang Google Play Store. Nililinlang ng malisyosong kampanya ang mga user sa pag-download ng mga application na tila lehitimo ngunit sa katunayan ay naghahatid ng isang malakas na Trojan sa pagbabangko na sinamahan ng mga kakayahan sa pagmimina ng cryptocurrency. Kapag na-install na, maaaring i-hijack ng malware ang nahawaang device, manipulahin ang mga user interface, at magsagawa ng mga hindi awtorisadong transaksyon sa pananalapi. Mahalaga ang agarang pag-alis kapag natukoy ang banta, dahil ang patuloy na operasyon ay maaaring magresulta sa mga pagkalugi sa pananalapi, paglabag sa privacy, at pangmatagalang pagkakompromiso sa device.

Mga Teknik sa Pagpapatupad na Walang File at Anti-Analysis

Sa pagpapatupad, magsisimula ang BeatBanker sa pamamagitan ng pagkolekta ng mahahalagang impormasyon sa network, kabilang ang IP address ng device, uri ng device, katayuan ng paggamit ng VPN, at mga kaugnay na detalye ng koneksyon. Sa halip na iimbak ang mga malisyosong bahagi nito bilang mga file sa storage ng device, direktang nilo-load ng malware ang code nito sa memorya. Ang pamamaraan ng pagpapatupad na walang file na ito ay makabuluhang binabawasan ang posibilidad na matuklasan ng mga tradisyonal na tool sa seguridad ng mobile.

Para lalong maiwasan ang pagsusuri, sinusuri ng BeatBanker kung tumatakbo ito sa loob ng isang kapaligirang pang-testing o pananaliksik, tulad ng isang emulator o sandbox. Kung matutukoy ang mga ganitong kondisyon, agad na ititigil ng malware ang operasyon nito. Ang mekanismong pangdepensa na ito ay nakakatulong na pigilan ang mga mananaliksik sa cybersecurity at mga automated system sa pagsusuri ng kilos nito.

Social Engineering sa pamamagitan ng mga Pekeng Pahina ng Google Play Store

Matapos makapasa sa mga environment check nito, ang BeatBanker ay nagpapakita ng isang pekeng interface na halos kapareho ng pahina ng Google Play Store para sa isang application na may label na 'INSS Reembolso,' na maling nagsasabing kailangan ng software update. Kapag pinili ng user ang opsyong 'Update', hihingi ng pahintulot ang malware na mag-install ng mga application at magda-download ng mga nakatagong malisyosong bahagi.

Sa halip na umasa sa lehitimong imprastraktura ng Google Play, direktang ini-install ng malware ang mga bahaging ito sa pamamagitan ng pag-abuso sa mga mataas na pahintulot sa pag-install. Upang mapanatili ang pagtitiyaga, bumubuo ang malware ng isang mapanlinlang na notification sa pag-update ng system at nagpapatakbo ng isang serbisyo sa foreground na tahimik na nagpapatugtog ng media, na pumipigil sa operating system na wakasan ang malisyosong proseso.

Pagmimina ng Cryptocurrency sa mga Device ng Biktima

Isa sa mga nakatagong payload ng BeatBanker ay isang cryptocurrency miner na naka-embed sa loob ng isang na-download na file. Ang component na ito ay isang binagong bersyon ng XMRig na idinisenyo upang samantalahin ang mga resources ng CPU ng nahawaang device upang minahin ang cryptocurrency para sa mga umaatake.

Matalinong pinamamahalaan ng malware ang aktibidad ng pagmimina sa pamamagitan ng pagsubaybay sa mga parameter ng system tulad ng antas ng baterya, temperatura ng device, at aktibidad ng user. Batay sa mga kundisyong ito, maaaring awtomatikong simulan o ihinto ng minero ang operasyon nito upang mabawasan ang hinala at pahabain ang impeksyon.

Mga Mekanismo ng Pagnanakaw ng Trojan at Cryptocurrency sa Pagbabangko

Kasama ng kakayahang mag-cryptomining, nagde-deploy ang BeatBanker ng isang banking Trojan na nagtatangkang kumuha ng mga pahintulot sa accessibility. Ang pagbibigay ng mga pahintulot na ito ay nagbibigay-daan sa mga umaatake na kontrolin ang interface ng device at subaybayan ang mga interaksyon ng user.

Aktibong sinusubaybayan ng malware kung aling mga application ang binuksan at partikular na tinatarget ang mga cryptocurrency platform tulad ng Binance at Trust Wallet, na may partikular na pokus sa mga transaksyon ng USDT. Kapag sinimulan ng isang biktima ang isang paglilipat, pinapatungan ng BeatBanker ang lehitimong interface ng transaksyon ng isang mapanlinlang na screen. Sa prosesong ito, tahimik na pinapalitan ng malware ang nilalayong address ng tatanggap ng isang address na kontrolado ng mga umaatake, na nagiging sanhi ng pag-redirect ng mga pondo nang hindi nalalaman ng biktima.

Sinusuri rin ng banking module ang presensya ng ilang karaniwang ginagamit na mobile browser at nangongolekta ng impormasyon sa pag-browse. Maaari nitong manipulahin ang mga naka-save na link sa loob ng default na browser sa pamamagitan ng pagdaragdag, pag-edit, pagbura, o paglilista ng mga entry, at maaari nitong buksan ang mga URL na ibinigay ng attacker.

Mga Kakayahan sa Pag-uutos at Pagkontrol at Manipulasyon ng Device

Nakikipag-ugnayan ang BeatBanker sa isang command-and-control (C2) server, na nagpapahintulot sa mga umaatake na malayuang pamahalaan ang mga nahawaang device at mag-isyu ng mga utos. Sa pamamagitan ng imprastrakturang ito, maaaring magsagawa ang malware ng malawak na hanay ng mga malisyosong aksyon kabilang ang pagpapakita ng mga pekeng update ng system, pag-lock ng screen ng device, pagkuha ng mga nilalaman ng clipboard, at pagpapadala ng mga audio recording sa mga threat actor.

Kabilang sa mga karagdagang kakayahan ang kakayahang magpadala ng mga mensaheng SMS, magbukas ng mga link na kontrolado ng attacker sa mga browser, mag-update ng mga nakaimbak na kredensyal, at maglista ng mga file na nakaimbak sa device. Maaari ring magsagawa ang malware ng mga mapanirang aksyon tulad ng pagbura ng mga file, pagsisimula ng factory reset, o pag-uninstall ng sarili nito upang alisin ang mga bakas pagkatapos makumpleto ang isang operasyon.

Mga Feature ng Surveillance at Data Exfiltration

Higit pa sa pagnanakaw sa pananalapi, ang BeatBanker ay gumagana bilang isang malawak na kagamitan sa pagsubaybay. Kaya nitong i-record ang mga keystroke, kumuha ng tekstong ipinapakita sa screen, kumuha ng mga screenshot, at mag-stream ng screen ng device nang real time. Ang patuloy na pagsubaybay sa mga tumatakbong application ay nagbibigay-daan sa mga umaatake na obserbahan ang pag-uugali ng user at mangolekta ng sensitibong impormasyon.

Naglalaman din ang malware ng mga karagdagang mekanismo sa pagkontrol ng device, kabilang ang pagsubaybay sa application, isang built-in na firewall na maaaring harangan o payagan ang mga piling app, patuloy na paglikha ng notification, at ang kakayahang pamahalaan ang mga koneksyon sa VPN.

Mga Mekanismo ng Pag-abuso sa Pahintulot at Pagtitiyaga

Malaki ang nakasalalay sa BeatBanker sa mga high-risk na pahintulot sa Android na lubos na nagpapalawak sa kontrol nito sa device. Ang mga pahintulot na ito ay nagbibigay-daan sa malware na mapanatili ang persistence, i-automate ang mga aksyon, at isagawa ang mga command nang hindi namamalayan ng user.

Ang mga pangunahing kakayahan na pinagana ng mga pahintulot na ito ay kinabibilangan ng:

  • Accessibility access, na nagpapahintulot sa mga awtomatikong pag-tap, pag-swipe, at pagmamanipula ng interface
  • Mga pahintulot sa overlay na nagbibigay-daan sa mga pekeng screen na lumitaw sa mga lehitimong application
  • Pahintulot na mag-install ng mga application mula sa hindi kilalang mga mapagkukunan, na nagbibigay-daan sa tahimik na pag-install ng mga karagdagang malisyosong bahagi
  • Ang kakayahang magbukas ng mga link, magpatupad ng mga USSD code, at mag-deploy ng karagdagang mga pakete ng malware

Ang mga pribilehiyong ito ay nagbabago sa nahawaang device tungo sa isang platform na kontrolado sa malayo na may kakayahang magsagawa ng mga kumplikadong malisyosong operasyon.

Umuusbong na Baryante na Nagbalatkayo bilang isang Aplikasyon ng StarLink

Natukoy ng mga mananaliksik sa seguridad ang isang mas bagong variant ng BeatBanker na nagkukunwaring isang pekeng StarLink application na nagta-target sa mga gumagamit ng Android. Hindi tulad ng mga naunang bersyon, hindi ini-install ng variant na ito ang tradisyonal na banking Trojan component.

Sa halip, idine-deploy nito ang BTMOB remote administration Trojan (RAT). Binibigyan ng BTMOB ang mga umaatake ng ganap na remote access sa mga nakompromisong device at ipinamamahagi bilang Malware-as-a-Service (MaaS), na nagbibigay-daan sa mga cybercriminal na bumili at mag-deploy ng tool nang hindi bumubuo ng sarili nilang malware infrastructure.

Vector ng Impeksyon at Epekto sa Operasyon

Karaniwang nagsisimula ang mga impeksyon ng BeatBanker sa isang kampanya ng phishing na nagdidirekta sa mga biktima sa mga mapanlinlang na website na idinisenyo upang maging kamukha ng opisyal na Google Play Store. Nahihikayat ang mga gumagamit na mag-download ng mga malisyosong application na nagpapanggap na mga serbisyong may kaugnayan sa gobyerno tulad ng 'INSS Reembolso' o mga katulad na pekeng utility app.

Nakokompromiso ang isang device kapag na-install ng biktima ang pekeng application. Pagkatapos ng pag-activate, kinukuha ng BeatBanker ang mga karagdagang bahagi, kabilang ang cryptocurrency miner, at nagtatatag ng permanenteng access sa device.

Ang pinagsamang kakayahan ng malware ay nagbibigay-daan sa mga umaatake na magmina ng cryptocurrency, magnakaw ng datos pinansyal, manipulahin ang mga transaksyon, at mapanatili ang remote control sa mga nahawaang device. Ang ilang variant ay naglalagay din ng karagdagang malware tulad ng BTMOB, na nagbibigay sa mga kalaban ng matagal at walang limitasyong access sa mga nakompromisong system.

Trending

Pinaka Nanood

Naglo-load...