BeatBanker 銀行木馬

BeatBanker 是一款複雜的安卓惡意軟體，透過偽裝成 Google Play 應用程式商店的詐騙網站傳播。該惡意活動誘騙用戶下載看似合法的應用，但實際上卻植入了功能強大的銀行木馬程序，並具備加密貨幣挖礦功能。一旦安裝，該惡意軟體即可劫持受感染的設備，篡改使用者介面，並執行未經授權的金融交易。一旦發現威脅，必須立即將其清除，因為繼續運作會導致經濟損失、隱私洩漏和設備長期受損。

無文件執行和反分析技術

BeatBanker 執行時，首先會收集必要的網路信息，包括設備的 IP 位址、設備類型、VPN 使用狀態以及相關的連接詳情。與將惡意元件以檔案形式儲存在裝置儲存空間不同，該惡意軟體直接將程式碼載入記憶體。這種無檔案執行技術顯著降低了傳統行動安全工具偵測到的可能性。

為了進一步逃避分析，BeatBanker 會檢查自身是否運行在測試或研究環境中，例如模擬器或沙箱。如果偵測到此類情況，惡意軟體會立即終止運作。這種防禦機制有助於阻止網路安全研究人員和自動化系統分析其行為。

透過虛假的 Google Play 商店頁面進行社會工程攻擊

BeatBanker 通過環境檢查後，會顯示一個與 Google Play 應用程式商店中名為「INSS Reembolso」的應用程式頁面極為相似的偽造介面，並謊稱需要軟體更新。當使用者選擇「更新」選項時，該惡意軟體會要求安裝應用程式的權限，並下載隱藏的惡意元件。

該惡意軟體並非依賴合法的 Google Play 基礎設施，而是濫用提升的安裝權限直接安裝這些元件。為了保持持久性，該惡意軟體會產生欺騙性的系統更新通知，並執行一個在背景靜默播放媒體的服務，從而阻止作業系統終止惡意進程。

在受害設備上進行加密貨幣挖礦

BeatBanker 的隱藏有效載荷之一是嵌入在下載檔案中的加密貨幣挖礦程式。該元件是 XMRig 的修改版，旨在利用受感染設備的 CPU 資源代表攻擊者挖掘加密貨幣。

該惡意軟體透過監控電池電量、設備溫度和用戶活動等系統參數來智慧管理挖礦活動。基於這些條件，挖礦程序可以自動啟動或暫停運行，以降低被偵測者的懷疑並延長感染時間。

銀行木馬與加密貨幣竊盜機制

除了加密貨幣挖礦功能外，BeatBanker 還部署了一個銀行木馬程序，試圖取得輔助功能權限。授予這些權限後，攻擊者即可控制裝置的介面並監控使用者互動。

該惡意軟體會主動追蹤用戶開啟的應用程序，並專門針對幣安和Trust Wallet等加密貨幣平台，尤其關注USDT交易。當受害者發起轉帳時，BeatBanker會將合法的交易介面替換為詐騙頁面。在此過程中，惡意軟體會在受害者不知情的情況下，悄悄地將收款地址替換為攻擊者控制的地址，導致資金被轉移。

此銀行模組還會偵測幾種常用行動瀏覽器的存在情況，並收集瀏覽資訊。它可以透過新增、編輯、刪除或列出條目來操縱預設瀏覽器中儲存的鏈接，並且可以打開攻擊者提供的URL。

指揮控制能力與設備操控

BeatBanker 與命令與控制 (C2) 伺服器通信，使攻擊者能夠遠端管理受感染的設備並發出命令。透過此基礎架構，該惡意軟體可以執行各種惡意操作，包括顯示虛假系統更新、鎖定裝置螢幕、提取剪貼簿內容以及將錄音傳輸給威脅行為者。

該惡意軟體還具備發送簡訊、在瀏覽器中開啟攻擊者控制的連結、更新已儲存的憑證以及列出裝置上儲存的檔案等功能。此外，它還能執行一些破壞性操作，例如刪除檔案、恢復出廠設置，或在操作完成後卸載自身以清除痕跡。

監視和資料外洩功能

除了竊取資金外，BeatBanker 也是一款強大的監控工具。它能夠記錄鍵盤輸入、提取螢幕顯示文字、截取螢幕截圖，並即時傳輸裝置螢幕。透過持續監控運行中的應用程序，攻擊者可以觀察使用者行為並收集敏感資訊。

該惡意軟體還包含額外的裝置控制機制，包括應用程式監控、可封鎖或允許選定應用程式的內建防火牆、持續通知建立以及管理 VPN 連線的功能。

權限濫用和持久化機制

BeatBanker 嚴重依賴高風險的 Android 權限，從而顯著擴展了其對裝置的控制範圍。這些權限使惡意軟體能夠保持持久性、自動執行操作並在使用者不知情的情況下執行命令。

這些權限啟用的關鍵功能包括：

• 輔助功能訪問，允許自動點擊、滑動和介面操作
• 允許在合法應用程式上顯示虛假螢幕的疊加權限
• 允許安裝來自未知來源的應用程序，從而允許靜默安裝其他惡意元件
• 能夠開啟連結、執行 USSD 程式碼並部署其他惡意軟體包

這些權限將受感染的設備變成遠端控制平台，能夠執行複雜的惡意操作。

偽裝成 StarLink 應用程式的新興變種

安全研究人員發現了一種新型的 BeatBanker 變種，它偽裝成虛假的 StarLink 應用，專門針對安卓用戶。與早期版本不同，該變種不會安裝傳統的銀行木馬組件。

相反，它部署的是 BTMOB 遠端管理木馬 (RAT)。 BTMOB 賦予攻擊者對受感染設備的完全遠端存取權限，並以惡意軟體即服務 (MaaS) 的形式分發，使網路犯罪分子無需開發自己的惡意軟體基礎設施即可購買和部署該工具。

感染途徑和營運影響

BeatBanker病毒感染通常始於網路釣魚活動，該活動將受害者引導至偽裝成官方Google Play商店的詐騙網站。用戶會被誘騙下載偽裝成政府相關服務的惡意應用程序，例如“INSS Reembolso”或類似的虛假實用程式。

一旦受害者安裝了偽造的應用程序，設備就會被入侵。啟動後，BeatBanker 會取得其他元件，包括加密貨幣挖礦程序，並建立對設備的持久存取權限。

該惡意軟體的綜合功能使攻擊者能夠挖掘加密貨幣、竊取金融資料、操縱交易並遠端控制受感染的設備。某些變種還會部署其他惡意軟體，例如 BTMOB，使攻擊者能夠長時間不受限制地存取受感染的系統。