Вредонос BeatBanker под видом приложения Starlink захватывает устройства для кражи банковских данных и криптоджекинга
Новый изощренный вредонос для Android, получивший название BeatBanker, активно атакует пользователей, маскируясь под легитимное приложение Starlink. Угроза, обнаруженная исследователями «Лаборатории Касперского» в кампаниях, сфокусированных на Бразилии, распространяется через поддельные сайты, имитирующие официальный магазин Google Play. Этот зловред сочетает в себе возможности банковского трояна и майнера криптовалюты Monero, что позволяет ему похищать конфиденциальные учетные данные и манипулировать криптовалютными транзакциями. В новой версии BeatBanker произошла значительная эволюция: вместо оригинального банковского модуля теперь используется доступный Android RAT под названием BTMOB RAT, предоставляющий злоумышленникам полный контроль над скомпрометированными устройствами.
BeatBanker использует продвинутые методы уклонения для избежания обнаружения и анализа. Он распространяется в виде APK-файла, который использует нативные библиотеки для расшифровки и загрузки скрытого DEX-кода прямо в память устройства, что помогает обходить статические проверки безопасности. Перед выполнением вредоносной нагрузки программа проводит проверку окружения, чтобы определить, не запущена ли она в песочнице для анализа. Если препятствий нет, она отображает фиктивный экран обновления Google Play Store, обманом вынуждая жертв предоставить разрешения, необходимые для установки дополнительных вредоносных компонентов.
Развертывание модуля BTMOB RAT значительно усиливает угрозу. Этот троян удаленного доступа предоставляет операторам мощный набор функций слежения и контроля, включая полное удаленное управление устройством, кейлоггинг, запись экрана, доступ к камере, GPS-трекинг и перехват учетных данных. Это позволяет атаковавшим похищать широкий спектр персональных и финансовых данных прямо с инфицированного смартфона. Согласно анализу «Лаборатории Касперского», BeatBanker также использует необычный механизм персистентности: он непрерывно воспроизводит почти неслышимый аудиофайл, чтобы предотвратить переход вредоносной службы в спящий режим в системе Android, тем самым гарантируя ее постоянную активность.
Данная кампания подчеркивает растущий тренд на многофункциональные вредоносные программы, сочетающие финансовые кражи с другими схемами монетизации, такими как криптоджекинг. Использование легитимного бренда Starlink в качестве приманки демонстрирует продолжающуюся зависимость злоумышленников от методов социальной инженерии для получения первоначального доступа. Пользователям следует проявлять крайнюю осторожность и загружать приложения исключительно из официальных источников, таких как Google Play, несмотря на то что и они не гарантируют стопроцентную безопасность.
Эксперты по кибербезопасности настоятельно рекомендуют устанавливать надежное мобильное антивирусное решение, регулярно обновлять операционную систему и приложения, а также внимательно проверять запрашиваемые разрешения. Особую бдительность следует проявлять при переходе по ссылкам из непроверенных сообщений и предложениях скачать софт вне официальных магазинов приложений, поскольку это остается основным вектором распространения подобных угроз.
