Как работи BeatBanker
Новият зловреден софтуер за Android, наречен BeatBanker, е открит от изследователи на Kaspersky и се разпространява като фалшиво приложение на Starlink, достъпно чрез сайтове, маскирани като официалния Google Play Store.
-
BeatBanker комбинира функции на банков троян с Monero майнинг.
-
Може да открадне потребителски идентификационни данни, да променя криптовалутни транзакции и да поеме пълен контрол над устройството.
-
Последната версия използва BTMOB RAT, който предоставя на операторите:
-
пълен достъп до устройството,
-
keylogging и запис на екрана,
-
достъп до камера и GPS,
-
кражба на идентификационни данни.
-
Методи за внедряване и заобикаляне на защита
-
BeatBanker се разпространява като APK файл, който използва native библиотеки, за да декриптира и зареди скрит DEX код директно в паметта, за да избегне откриване.
-
Показва фалшив екран за обновление на Play Store, за да убеди потребителя да предостави разрешения за инсталиране на допълнителни payload-и.
-
Забавя изпълнението на злонамерени операции, за да избегне аларми.
Уникален метод за постоянство:
-
Малуерът непрекъснато пуска почти нечуваем 5-секунден MP3 файл с китайска реч (
output8.mp3). -
Компонентът
KeepAliveServiceMediaPlaybackизползва MediaPlayer за непрекъснато възпроизвеждане и поддържа услугата активна на преден план чрез уведомление, предотвратявайки автоматичното спиране от Android.
Stealth майнинг на Monero
-
BeatBanker включва модифицирана версия на XMRig 6.17.0 за ARM устройства, която майни Monero (XMR).
-
Свързва се към контролирани от атакувачите mining пулове чрез TLS криптирана връзка и използва proxy при проблем с основния адрес.
-
Операторите могат динамично да включват или спират майнинга в зависимост от условията на устройството, за да остане невидим.
Мониторинг на устройството:
-
BeatBanker използва Firebase Cloud Messaging (FCM), за да изпраща информация за:
-
ниво на батерията и температура,
-
статус на зареждане,
-
използване на устройството и прегряване.
-
-
Майнингът се спира, когато устройството е активно, за да се избегне откриване.
Препоръки за защита
-
Не инсталирайте APK файлове от непознати източници извън официалния Google Play Store.
-
Преглеждайте разрешенията на приложенията – избягвайте такива, които не са свързани с основната функционалност.
-
Използвайте Play Protect за редовно сканиране на устройства.
-
Бъдете внимателни с приложения, които искат необичайни разрешения или се представят за популярни услуги.
