BeatBanker 银行木马

BeatBanker 是一款复杂的安卓恶意软件，通过伪装成 Google Play 应用商店的欺诈网站传播。该恶意活动诱骗用户下载看似合法的应用，但实际上却植入了功能强大的银行木马程序，并具备加密货币挖矿功能。一旦安装，该恶意软件即可劫持受感染的设备，篡改用户界面，并执行未经授权的金融交易。一旦发现威胁，必须立即将其清除，因为继续运行会导致经济损失、隐私泄露和设备长期受损。

无文件执行和反分析技术

BeatBanker 执行时，首先会收集必要的网络信息，包括设备的 IP 地址、设备类型、VPN 使用状态以及相关的连接详情。与将恶意组件以文件形式存储在设备存储空间不同，该恶意软件直接将代码加载到内存中。这种无文件执行技术显著降低了被传统移动安全工具检测到的可能性。

为了进一步逃避分析，BeatBanker 会检查自身是否运行在测试或研究环境中，例如模拟器或沙箱。如果检测到此类情况，恶意软件会立即终止运行。这种防御机制有助于阻止网络安全研究人员和自动化系统分析其行为。

通过虚假的 Google Play 商店页面进行社会工程攻击

BeatBanker 通过环境检查后，会显示一个与 Google Play 应用商店中名为“INSS Reembolso”的应用页面极其相似的伪造界面，并谎称需要软件更新。当用户选择“更新”选项时，该恶意软件会请求安装应用的权限，并下载隐藏的恶意组件。

该恶意软件并非依赖合法的 Google Play 基础设施，而是滥用提升的安装权限直接安装这些组件。为了保持持久性，该恶意软件会生成欺骗性的系统更新通知，并运行一个在后台静默播放媒体的服务，从而阻止操作系统终止恶意进程。

在受害设备上进行加密货币挖矿

BeatBanker 的隐藏有效载荷之一是嵌入在下载文件中的加密货币挖矿程序。该组件是 XMRig 的修改版，旨在利用受感染设备的 CPU 资源代表攻击者挖掘加密货币。

该恶意软件通过监控电池电量、设备温度和用户活动等系统参数来智能管理挖矿活动。基于这些条件，挖矿程序可以自动启动或暂停运行，以降低被检测者的怀疑并延长感染时间。

银行木马和加密货币盗窃机制

除了加密货币挖矿功能外，BeatBanker 还部署了一个银行木马程序，试图获取辅助功能权限。授予这些权限后，攻击者即可控制设备的界面并监控用户交互。

该恶意软件会主动追踪用户打开的应用程序，并专门针对币安和Trust Wallet等加密货币平台，尤其关注USDT交易。当受害者发起转账时，BeatBanker会将合法的交易界面替换为欺诈页面。在此过程中，恶意软件会在受害者不知情的情况下，悄悄地将收款地址替换为攻击者控制的地址，导致资金被转移。

该银行模块还会检测几种常用移动浏览器的存在情况，并收集浏览信息。它可以通过添加、编辑、删除或列出条目来操纵默认浏览器中保存的链接，并且可以打开攻击者提供的URL。

指挥控制能力和设备操控

BeatBanker 与命令与控制 (C2) 服务器通信，使攻击者能够远程管理受感染的设备并发出命令。通过此基础架构，该恶意软件可以执行各种恶意操作，包括显示虚假系统更新、锁定设备屏幕、提取剪贴板内容以及将录音传输给威胁行为者。

该恶意软件还具备发送短信、在浏览器中打开攻击者控制的链接、更新已存储的凭据以及列出设备上存储的文件等功能。此外，它还能执行一些破坏性操作，例如删除文件、恢复出厂设置，或在操作完成后卸载自身以清除痕迹。

监视和数据泄露功能

除了窃取资金外，BeatBanker 还是一款功能强大的监控工具。它能够记录键盘输入、提取屏幕显示文本、截取屏幕截图，并实时传输设备屏幕。通过持续监控运行中的应用程序，攻击者可以观察用户行为并收集敏感信息。

该恶意软件还包含额外的设备控制机制，包括应用程序监控、可阻止或允许选定应用程序的内置防火墙、持续通知创建以及管理 VPN 连接的功能。

权限滥用和持久化机制

BeatBanker 严重依赖高风险的 Android 权限，从而显著扩展了其对设备的控制范围。这些权限使恶意软件能够保持持久性、自动执行操作并在用户不知情的情况下执行命令。

这些权限启用的关键功能包括：

• 辅助功能访问，允许自动点击、滑动和界面操作
• 允许在合法应用程序上显示虚假屏幕的叠加权限
• 允许安装来自未知来源的应用程序，从而允许静默安装其他恶意组件
• 能够打开链接、执行 USSD 代码并部署其他恶意软件包

这些权限将受感染的设备变成一个远程控制平台，能够执行复杂的恶意操作。

伪装成 StarLink 应用程序的新兴变种

安全研究人员发现了一种新型的 BeatBanker 变种，它伪装成虚假的 StarLink 应用，专门针对安卓用户。与早期版本不同，该变种不会安装传统的银行木马组件。

相反，它部署的是 BTMOB 远程管理木马 (RAT)。BTMOB 赋予攻击者对受感染设备的完全远程访问权限，并以恶意软件即服务 (MaaS) 的形式分发，使网络犯罪分子无需开发自己的恶意软件基础设施即可购买和部署该工具。

感染途径和运营影响

BeatBanker病毒感染通常始于网络钓鱼活动，该活动会将受害者引导至伪装成官方Google Play商店的欺诈网站。用户会被诱骗下载伪装成政府相关服务的恶意应用程序，例如“INSS Reembolso”或类似的虚假实用程序。

一旦受害者安装了伪造的应用程序，设备就会被入侵。激活后，BeatBanker 会获取其他组件，包括加密货币挖矿程序，并建立对设备的持久访问权限。

该恶意软件的综合功能使攻击者能够挖掘加密货币、窃取金融数据、操纵交易并远程控制受感染的设备。某些变种还会部署其他恶意软件，例如 BTMOB，从而使攻击者能够长时间不受限制地访问受感染的系统。