Знижка на кілька ліцензій
База даних загроз Мобільні шкідливі програми Банківський троян BeatBanker

Банківський троян BeatBanker

До Mezo року в Мобільні шкідливі програми, Банківський троян році
Перекласти на:

BeatBanker — це складне шкідливе програмне забезпечення для Android, що розповсюджується через шахрайські веб-сайти, розроблені для імітації Google Play Store. Шкідлива кампанія обманом змушує користувачів завантажувати програми, які здаються легітимними, але насправді містять потужний банківський троян у поєднанні з можливостями майнінгу криптовалюти. Після встановлення шкідливе програмне забезпечення може захопити заражений пристрій, маніпулювати інтерфейсами користувача та виконувати несанкціоновані фінансові операції. Негайне видалення є важливим після виявлення загрози, оскільки подальша робота може призвести до фінансових втрат, порушень конфіденційності та довгострокового компрометування пристрою.

Безфайлове виконання та методи антианалізу

Після запуску BeatBanker починає збирати важливу мережеву інформацію, включаючи IP-адресу пристрою, тип пристрою, стан використання VPN та пов'язані з цим деталі підключення. Замість того, щоб зберігати свої шкідливі компоненти у вигляді файлів на пристрої, шкідливе програмне забезпечення завантажує свій код безпосередньо в пам'ять. Цей метод безфайлового виконання значно знижує ймовірність виявлення традиційними засобами мобільної безпеки.

Щоб ще більше уникнути аналізу, BeatBanker перевіряє, чи працює він у тестовому або дослідницькому середовищі, такому як емулятор або пісочниця. Якщо такі умови виявляються, шкідливе програмне забезпечення негайно припиняє свою роботу. Цей захисний механізм допомагає запобігти аналізу його поведінки дослідниками з кібербезпеки та автоматизованими системами.

Соціальна інженерія через фальшиві сторінки магазину Google Play

Після проходження перевірок середовища BeatBanker відображає підроблений інтерфейс, дуже схожий на сторінку Google Play Store для програми з позначкою «INSS Reembolso», неправдиво стверджуючи, що потрібне оновлення програмного забезпечення. Коли користувач вибирає опцію «Оновити», шкідливе програмне забезпечення запитує дозвіл на встановлення програм і завантажує приховані шкідливі компоненти.

Замість того, щоб покладатися на легітимну інфраструктуру Google Play, шкідливе програмне забезпечення встановлює ці компоненти безпосередньо, зловживаючи підвищеними правами на встановлення. Для забезпечення стійкості шкідливе програмне забезпечення генерує оманливе сповіщення про оновлення системи та запускає службу переднього плану, яка непомітно відтворює медіафайли, не даючи операційній системі завершити шкідливий процес.

Майнінг криптовалюти на пристроях жертви

Одним із прихованих корисних навантажень BeatBanker є майнер криптовалюти, вбудований у завантажений файл. Цей компонент є модифікованою версією XMRig, призначеною для використання ресурсів процесора зараженого пристрою для майнінгу криптовалюти від імені зловмисників.

Шкідливе програмне забезпечення інтелектуально керує майнінговою активністю, моніторячи системні параметри, такі як рівень заряду батареї, температура пристрою та активність користувачів. Виходячи з цих умов, майнер може автоматично запускати або призупиняти свою роботу, щоб зменшити підозру та продовжити зараження.

Механізми крадіжки банківських троянів та криптовалют

Поряд із можливостями криптомайнінгу, BeatBanker розгортає банківського трояна, який намагається отримати дозволи на доступ. Надання цих дозволів дозволяє зловмисникам контролювати інтерфейс пристрою та відстежувати взаємодію з користувачем.

Шкідливе програмне забезпечення активно відстежує, які програми відкриваються, і спеціально націлене на криптовалютні платформи, такі як Binance та Trust Wallet, з особливим акцентом на транзакції USDT. Коли жертва ініціює переказ, BeatBanker накладає на легітимний інтерфейс транзакції шахрайський екран. Під час цього процесу шкідливе програмне забезпечення непомітно замінює адресу одержувача на адресу, контрольовану зловмисниками, що призводить до перенаправлення коштів без відома жертви.

Банківський модуль також оцінює наявність кількох поширених мобільних браузерів та збирає інформацію про перегляди. Він може маніпулювати збереженими посиланнями у браузері за замовчуванням, додаючи, редагуючи, видаляючи або переглядаючи записи, а також може відкривати URL-адреси, надані зловмисником.

Можливості командування та управління та маніпулювання пристроями

BeatBanker взаємодіє з командно-контрольним (C2) сервером, що дозволяє зловмисникам дистанційно керувати зараженими пристроями та видавати команди. Через цю інфраструктуру шкідливе програмне забезпечення може виконувати широкий спектр шкідливих дій, включаючи відображення фальшивих оновлень системи, блокування екрана пристрою, вилучення вмісту буфера обміну та передачу аудіозаписів зловмисникам.

Додаткові можливості включають можливість надсилання SMS-повідомлень, відкриття посилань, контрольованих зловмисником, у браузерах, оновлення збережених облікових даних та перегляд файлів, що зберігаються на пристрої. Шкідливе програмне забезпечення також може виконувати руйнівні дії, такі як видалення файлів, ініціювання скидання до заводських налаштувань або видалення себе для видалення слідів після завершення операції.

Функції спостереження та викрадання даних

Окрім фінансової крадіжки, BeatBanker функціонує як розширений інструмент спостереження. Він здатний записувати натискання клавіш, витягувати текст, що відображається на екрані, робити скріншоти та транслювати екран пристрою в режимі реального часу. Постійний моніторинг запущених програм дозволяє зловмисникам спостерігати за поведінкою користувачів та збирати конфіденційну інформацію.

Шкідливе програмне забезпечення також містить додаткові механізми контролю пристроїв, включаючи моніторинг програм, вбудований брандмауер, який може блокувати або дозволяти вибрані програми, створення постійних сповіщень та можливість керування VPN-з’єднаннями.

Механізми зловживання дозволами та їх збереження

BeatBanker значною мірою залежить від високоризикових дозволів Android, які значно розширюють його контроль над пристроєм. Ці дозволи дозволяють шкідливому програмному забезпеченню підтримувати безперебійність, автоматизувати дії та виконувати команди без відома користувача.

Основні можливості, що надаються цими дозволами, включають:

  • Доступ до спеціальних можливостей, що дозволяє автоматичні дотики, свайпи та маніпулювання інтерфейсом
  • Дозволи на накладання, які дозволяють відображати фальшиві екрани поверх легітимних програм
  • Дозвіл на встановлення програм з невідомих джерел, що дозволяє непомітне встановлення додаткових шкідливих компонентів
  • Можливість відкривати посилання, виконувати USSD-коди та розгортати додаткові пакети шкідливого програмного забезпечення

Ці привілеї перетворюють заражений пристрій на дистанційно керовану платформу, здатну виконувати складні шкідливі операції.

Новий варіант, замаскований під додаток StarLink

Дослідники з безпеки виявили новіший варіант BeatBanker, який маскується під підроблений додаток StarLink, орієнтований на користувачів Android. На відміну від попередніх версій, цей варіант не встановлює традиційний компонент банківського трояна.

Замість цього він розгортає трояна віддаленого адміністрування BTMOB (RAT). BTMOB надає зловмисникам повний віддалений доступ до уражених пристроїв і розповсюджується як шкідливе програмне забезпечення як послуга (MaaS), що дозволяє кіберзлочинцям купувати та розгортати інструмент без розробки власної інфраструктури шкідливого програмного забезпечення.

Переносник інфекції та операційний вплив

Зараження BeatBanker зазвичай починається з фішингової кампанії, яка перенаправляє жертв на шахрайські веб-сайти, розроблені під виглядом офіційного магазину Google Play. Користувачів переконують завантажувати шкідливі програми, що видаються за державні служби, такі як «INSS Reembolso» або аналогічні фальшиві утиліти.

Пристрій стає скомпрометованим, як тільки жертва встановлює підроблений застосунок. Після активації BeatBanker отримує додаткові компоненти, включаючи майнер криптовалюти, та встановлює постійний доступ до пристрою.

Сукупні можливості шкідливого програмного забезпечення дозволяють зловмисникам майнити криптовалюту, красти фінансові дані, маніпулювати транзакціями та здійснювати дистанційний контроль над зараженими пристроями. Деякі варіанти також розгортають додаткове шкідливе програмне забезпечення, таке як BTMOB, надаючи зловмисникам тривалий та необмежений доступ до скомпрометованих систем.

В тренді

Найбільше переглянуті

Fuq.com

Програма захисту від шпигунського ПЗ, Шкідливе програмне забезпечення Mac
21,844
Fuq.com — це програма рекламного типу, яка рекламує веб-сайти з порнографічним вмістом. Рекламні кампанії цієї потенційно небажаної програми (PUP) є дуже агресивними. Вони змушують своїх жертв...
Завантаження...