Из вашего смартфона доносится шёпот китайского мужчины? Это троян BeatBanker отчаянно пытается удержаться в фоне
NewsMakerПосмотрите, на какие уловки идут взломщики ради доступа к чужим деньгам.
Аналитики «Лаборатории Касперского» обнаружили программу для Android под названием BeatBanker, которая маскируется под приложение спутникового интернета Starlink. Злоумышленники распространяют файл через сайты, имитирующие официальный магазин Google Play . После установки программа получает доступ к устройству и может выполнять целый набор вредоносных действий — от кражи данных до скрытой добычи криптовалюты.
BeatBanker ориентирован на пользователей из Бразилии и сочетает функции банковского трояна и инструмента для добычи криптовалюты Monero. Вредоносная программа способна перехватывать учётные данные, вмешиваться в криптовалютные транзакции и использовать ресурсы смартфона для майнинга.
APK-файл содержит нативные библиотеки, которые расшифровывают скрытый код и загружают его напрямую в память устройства. Такой подход помогает обходить защитные механизмы. Перед запуском программа проверяет среду, чтобы убедиться в отсутствии анализа. Если проверка проходит успешно, пользователь видит поддельное окно обновления Google Play. Сообщение убеждает предоставить разрешения, необходимые для загрузки дополнительных компонентов.
В ранних версиях BeatBanker работал исключительно как банковский троян, однако более свежие образцы внедряют удалённый троян BTMOB RAT . Такой инструмент предоставляет полный контроль над смартфоном. Операторы получают возможность записывать нажатия клавиш, делать снимки экрана, включать камеру, отслеживать геолокацию и перехватывать учётные данные.
Авторы вредоносной программы применили весьма занимательный механизм закрепления в системе. Сервис KeepAliveServiceMediaPlayback непрерывно воспроизводит почти неслышимую пятисекундную аудиозапись китайской речи из файла output8.mp3. Постоянное воспроизведение удерживает процесс в активном состоянии и не позволяет системе завершить работу сервиса из-за бездействия.
BeatBanker также запускает модифицированную версию майнера XMRig 6.17.0, собранную для устройств на базе ARM. Программа подключается к майнинговым пулам через защищённые соединения TLS. Если основной адрес становится недоступным, используется резервный прокси-сервер.
Вредоносная программа внимательно следит за состоянием смартфона. Через систему Firebase Cloud Messaging сервер управления получает сведения о температуре устройства, уровне заряда батареи, активности пользователя и состоянии зарядки. Майнинг запускается только при подходящих условиях и автоматически прекращается во время активного использования смартфона. Такой подход снижает нагрузку и помогает вредоносной активности дольше оставаться незамеченной.
Помимо приложения Starlink, зловредная программа маскировалась также и под местные бразильские Госуслуги — INSS Reembolso. Пока заражения фиксировались только в Бразилии , однако успешность схемы может привести к распространению вредоносной программы в других странах.
Аналитики «Лаборатории Касперского» обнаружили программу для Android под названием BeatBanker, которая маскируется под приложение спутникового интернета Starlink. Злоумышленники распространяют файл через сайты, имитирующие официальный магазин Google Play . После установки программа получает доступ к устройству и может выполнять целый набор вредоносных действий — от кражи данных до скрытой добычи криптовалюты.
BeatBanker ориентирован на пользователей из Бразилии и сочетает функции банковского трояна и инструмента для добычи криптовалюты Monero. Вредоносная программа способна перехватывать учётные данные, вмешиваться в криптовалютные транзакции и использовать ресурсы смартфона для майнинга.
APK-файл содержит нативные библиотеки, которые расшифровывают скрытый код и загружают его напрямую в память устройства. Такой подход помогает обходить защитные механизмы. Перед запуском программа проверяет среду, чтобы убедиться в отсутствии анализа. Если проверка проходит успешно, пользователь видит поддельное окно обновления Google Play. Сообщение убеждает предоставить разрешения, необходимые для загрузки дополнительных компонентов.
В ранних версиях BeatBanker работал исключительно как банковский троян, однако более свежие образцы внедряют удалённый троян BTMOB RAT . Такой инструмент предоставляет полный контроль над смартфоном. Операторы получают возможность записывать нажатия клавиш, делать снимки экрана, включать камеру, отслеживать геолокацию и перехватывать учётные данные.
Авторы вредоносной программы применили весьма занимательный механизм закрепления в системе. Сервис KeepAliveServiceMediaPlayback непрерывно воспроизводит почти неслышимую пятисекундную аудиозапись китайской речи из файла output8.mp3. Постоянное воспроизведение удерживает процесс в активном состоянии и не позволяет системе завершить работу сервиса из-за бездействия.
BeatBanker также запускает модифицированную версию майнера XMRig 6.17.0, собранную для устройств на базе ARM. Программа подключается к майнинговым пулам через защищённые соединения TLS. Если основной адрес становится недоступным, используется резервный прокси-сервер.
Вредоносная программа внимательно следит за состоянием смартфона. Через систему Firebase Cloud Messaging сервер управления получает сведения о температуре устройства, уровне заряда батареи, активности пользователя и состоянии зарядки. Майнинг запускается только при подходящих условиях и автоматически прекращается во время активного использования смартфона. Такой подход снижает нагрузку и помогает вредоносной активности дольше оставаться незамеченной.
Помимо приложения Starlink, зловредная программа маскировалась также и под местные бразильские Госуслуги — INSS Reembolso. Пока заражения фиксировались только в Бразилии , однако успешность схемы может привести к распространению вредоносной программы в других странах.