Phần mềm độc hại ngân hàng BeatBanker

BeatBanker là một phần mềm độc hại tinh vi dành cho Android, được phân phối thông qua các trang web giả mạo được thiết kế để bắt chước Google Play Store. Chiến dịch độc hại này lừa người dùng tải xuống các ứng dụng trông có vẻ hợp pháp nhưng thực chất lại chứa một Trojan ngân hàng mạnh mẽ kết hợp với khả năng khai thác tiền điện tử. Sau khi được cài đặt, phần mềm độc hại có thể chiếm quyền điều khiển thiết bị bị nhiễm, thao túng giao diện người dùng và thực hiện các giao dịch tài chính trái phép. Việc loại bỏ ngay lập tức là rất cần thiết khi phát hiện ra mối đe dọa, vì việc tiếp tục hoạt động có thể dẫn đến tổn thất tài chính, vi phạm quyền riêng tư và làm tổn hại thiết bị về lâu dài.

Thực thi không cần tệp và các kỹ thuật chống phân tích

Khi được thực thi, BeatBanker bắt đầu bằng việc thu thập thông tin mạng cần thiết, bao gồm địa chỉ IP của thiết bị, loại thiết bị, trạng thái sử dụng VPN và các chi tiết kết nối liên quan. Thay vì lưu trữ các thành phần độc hại dưới dạng tệp trên bộ nhớ của thiết bị, phần mềm độc hại tải mã của nó trực tiếp vào bộ nhớ. Kỹ thuật thực thi không cần tệp này làm giảm đáng kể khả năng bị phát hiện bởi các công cụ bảo mật di động truyền thống.

Để né tránh việc bị phân tích hơn nữa, BeatBanker kiểm tra xem nó có đang chạy trong môi trường thử nghiệm hoặc nghiên cứu nào không, chẳng hạn như trình giả lập hoặc hộp cát. Nếu phát hiện thấy các điều kiện như vậy, phần mềm độc hại sẽ chấm dứt hoạt động ngay lập tức. Cơ chế phòng thủ này giúp ngăn chặn các nhà nghiên cứu an ninh mạng và các hệ thống tự động phân tích hành vi của nó.

Tấn công lừa đảo qua mạng bằng cách sử dụng các trang giả mạo trên Google Play Store

Sau khi vượt qua các bước kiểm tra môi trường, BeatBanker hiển thị một giao diện giả mạo rất giống với trang Google Play Store của một ứng dụng có tên 'INSS Reembolso', thông báo sai rằng cần phải cập nhật phần mềm. Khi người dùng chọn tùy chọn 'Cập nhật', phần mềm độc hại yêu cầu quyền cài đặt ứng dụng và tải xuống các thành phần độc hại được giấu kín.

Thay vì dựa vào cơ sở hạ tầng hợp pháp của Google Play, phần mềm độc hại cài đặt trực tiếp các thành phần này bằng cách lợi dụng quyền cài đặt nâng cao. Để duy trì hoạt động, phần mềm độc hại tạo ra thông báo cập nhật hệ thống giả mạo và chạy một dịch vụ ngầm phát đa phương tiện, ngăn hệ điều hành chấm dứt tiến trình độc hại.

Khai thác tiền điện tử trên thiết bị của nạn nhân

Một trong những phần mềm độc hại ẩn giấu của BeatBanker là một phần mềm khai thác tiền điện tử được nhúng trong một tập tin đã tải xuống. Thành phần này là một phiên bản sửa đổi của XMRig được thiết kế để khai thác tài nguyên CPU của thiết bị bị nhiễm nhằm khai thác tiền điện tử thay mặt cho kẻ tấn công.

Phần mềm độc hại này quản lý hoạt động khai thác một cách thông minh bằng cách giám sát các thông số hệ thống như mức pin, nhiệt độ thiết bị và hoạt động của người dùng. Dựa trên các điều kiện này, phần mềm khai thác có thể tự động bắt đầu hoặc tạm dừng hoạt động để giảm sự nghi ngờ và kéo dài thời gian lây nhiễm.

Các cơ chế Trojan ngân hàng và đánh cắp tiền điện tử

Bên cạnh khả năng khai thác tiền điện tử, BeatBanker còn triển khai một Trojan ngân hàng nhằm mục đích giành quyền truy cập. Việc cấp các quyền này cho phép kẻ tấn công kiểm soát giao diện thiết bị và theo dõi tương tác của người dùng.

Phần mềm độc hại này chủ động theo dõi các ứng dụng được mở và nhắm mục tiêu cụ thể vào các nền tảng tiền điện tử như Binance và Trust Wallet, đặc biệt tập trung vào các giao dịch USDT. Khi nạn nhân bắt đầu một giao dịch chuyển khoản, BeatBanker sẽ phủ lên giao diện giao dịch hợp pháp một màn hình giả mạo. Trong quá trình này, phần mềm độc hại âm thầm thay thế địa chỉ người nhận dự định bằng một địa chỉ do kẻ tấn công kiểm soát, khiến tiền bị chuyển hướng mà nạn nhân không hề hay biết.

Mô-đun ngân hàng cũng đánh giá sự hiện diện của một số trình duyệt di động thông dụng và thu thập thông tin duyệt web. Nó có thể thao tác các liên kết đã lưu trong trình duyệt mặc định bằng cách thêm, chỉnh sửa, xóa hoặc liệt kê các mục, và nó có thể mở các URL do kẻ tấn công cung cấp.

Khả năng điều khiển và kiểm soát cũng như thao tác thiết bị

BeatBanker liên lạc với máy chủ điều khiển (C2), cho phép kẻ tấn công quản lý từ xa các thiết bị bị nhiễm và ra lệnh. Thông qua cơ sở hạ tầng này, phần mềm độc hại có thể thực hiện nhiều hành động độc hại khác nhau, bao gồm hiển thị các bản cập nhật hệ thống giả mạo, khóa màn hình thiết bị, trích xuất nội dung clipboard và truyền các bản ghi âm cho kẻ tấn công.

Các khả năng bổ sung bao gồm khả năng gửi tin nhắn SMS, mở các liên kết do kẻ tấn công kiểm soát trong trình duyệt, cập nhật thông tin đăng nhập đã lưu trữ và liệt kê các tệp được lưu trữ trên thiết bị. Phần mềm độc hại cũng có thể thực hiện các hành động phá hoại như xóa tệp, khởi động lại cài đặt gốc hoặc tự gỡ cài đặt để xóa dấu vết sau khi hoàn thành một thao tác.

Tính năng giám sát và lọc dữ liệu

Ngoài việc đánh cắp tài chính, BeatBanker còn hoạt động như một công cụ giám sát toàn diện. Nó có khả năng ghi lại các thao tác gõ phím, trích xuất văn bản hiển thị trên màn hình, chụp ảnh màn hình và truyền phát màn hình thiết bị theo thời gian thực. Việc liên tục giám sát các ứng dụng đang chạy cho phép kẻ tấn công quan sát hành vi người dùng và thu thập thông tin nhạy cảm.

Phần mềm độc hại này cũng chứa các cơ chế kiểm soát thiết bị bổ sung, bao gồm giám sát ứng dụng, tường lửa tích hợp có thể chặn hoặc cho phép các ứng dụng được chọn, tạo thông báo liên tục và khả năng quản lý kết nối VPN.

Lạm dụng quyền hạn và các cơ chế duy trì quyền truy cập

BeatBanker dựa rất nhiều vào các quyền truy cập Android có rủi ro cao, giúp mở rộng đáng kể khả năng kiểm soát thiết bị của nó. Các quyền này cho phép phần mềm độc hại duy trì hoạt động, tự động hóa các hành động và thực thi các lệnh mà người dùng không hề hay biết.

Các chức năng chính được kích hoạt bởi các quyền này bao gồm:

• Khả năng truy cập dễ dàng, cho phép chạm, vuốt và thao tác giao diện tự động.
• Quyền phủ lớp cho phép hiển thị các màn hình giả mạo trên các ứng dụng hợp pháp.
• Cho phép cài đặt ứng dụng từ các nguồn không xác định, cho phép cài đặt ngầm các thành phần độc hại bổ sung.
• Khả năng mở liên kết, thực thi mã USSD và triển khai thêm các gói phần mềm độc hại khác.

Những đặc quyền này biến thiết bị bị nhiễm thành một nền tảng điều khiển từ xa có khả năng thực hiện các hoạt động độc hại phức tạp.

Biến thể mới nổi được ngụy trang dưới dạng ứng dụng StarLink

Các nhà nghiên cứu bảo mật đã xác định được một biến thể mới hơn của BeatBanker, giả mạo là ứng dụng StarLink nhắm mục tiêu vào người dùng Android. Khác với các phiên bản trước, biến thể này không cài đặt thành phần Trojan ngân hàng truyền thống.

Thay vào đó, nó triển khai Trojan quản trị từ xa BTMOB (RAT). BTMOB cấp cho kẻ tấn công quyền truy cập từ xa hoàn toàn vào các thiết bị bị xâm nhập và được phân phối dưới dạng Phần mềm độc hại như một dịch vụ (Malware-as-a-Service - MaaS), cho phép tội phạm mạng mua và triển khai công cụ này mà không cần phát triển cơ sở hạ tầng phần mềm độc hại của riêng họ.

Tác nhân lây nhiễm và tác động đến hoạt động

Các cuộc tấn công BeatBanker thường bắt đầu bằng một chiến dịch lừa đảo (phishing) hướng nạn nhân đến các trang web giả mạo được thiết kế giống với cửa hàng Google Play chính thức. Người dùng bị thuyết phục tải xuống các ứng dụng độc hại giả danh các dịch vụ liên quan đến chính phủ như 'INSS Reembolso' hoặc các ứng dụng tiện ích giả mạo tương tự.

Thiết bị sẽ bị xâm nhập ngay khi nạn nhân cài đặt ứng dụng giả mạo. Sau khi kích hoạt, BeatBanker sẽ thu thập thêm các thành phần khác, bao gồm cả phần mềm khai thác tiền điện tử, và thiết lập quyền truy cập lâu dài vào thiết bị.

Sự kết hợp các khả năng của phần mềm độc hại này cho phép kẻ tấn công khai thác tiền điện tử, đánh cắp dữ liệu tài chính, thao túng giao dịch và duy trì quyền kiểm soát từ xa đối với các thiết bị bị nhiễm. Một số biến thể còn triển khai thêm phần mềm độc hại khác như BTMOB, cho phép kẻ thù truy cập lâu dài và không hạn chế vào các hệ thống bị xâm nhập.