Новое вредоносное ПО для Android под названием BeatBanker способно захватывать устройства и обманом заставляет пользователей устанавливать его, маскируясь под приложение Starlink на веб-сайтах, выдающих себя за официальный Google Play Store.
Вредоносная программа сочетает в себе функции банковского трояна с майнингом Monero и может красть учетные данные, а также вмешиваться в криптовалютные транзакции.
Исследователи «Лаборатории Касперского» обнаружили BeatBanker в кампаниях, нацеленных на пользователей в Бразилии. Они также выяснили, что самая последняя версия вредоносного ПО развертывает стандартный троян удаленного доступа для Android под названием BTMOB RAT вместо банковского модуля.
BTMOB RAT предоставляет операторам полный контроль над устройством, возможности кейлоггинга, записи экрана, доступа к камере, GPS-слежения и сбора учетных данных.
Сохранение присутствия через MP3
BeatBanker распространяется в виде APK-файла, который использует нативные библиотеки для расшифровки и загрузки скрытого DEX-кода непосредственно в память, чтобы избежать обнаружения.
Перед запуском он выполняет проверки окружения, чтобы убедиться, что его не анализируют. Если проверки пройдены, он отображает поддельный экран обновления Play Store, чтобы обманом заставить жертв предоставить ему разрешения на установку дополнительных полезных нагрузок.
Чтобы избежать срабатывания тревоги, BeatBanker откладывает вредоносные операции на определенный период после установки.
По данным «Лаборатории Касперского», у вредоносного ПО есть необычный метод поддержания постоянного присутствия, который заключается в непрерывном воспроизведении почти неслышимой 5-секундной записи китайской речи из MP3-файла с именем output8.mp3.
«Компонент KeepAliveServiceMediaPlayback обеспечивает непрерывную работу, инициируя бесперебойное воспроизведение через MediaPlayer», — объясняют в «Лаборатории Касперского» в сегодняшнем отчете.
«Он поддерживает активность службы на переднем плане с помощью уведомления и загружает небольшой, непрерывный аудиофайл. Эта постоянная активность не позволяет системе приостанавливать или завершать процесс из-за бездействия».
Скрытый майнинг криптовалюты
BeatBanker использует модифицированную версию майнера XMRig 6.17.0, скомпилированную для ARM-устройств, для майнинга Monero на устройствах Android. XMRig подключается к управляемым злоумышленниками майнинг-пулам, используя зашифрованные TLS-соединения, и переключается на прокси-сервер, если основной адрес недоступен.
Майнер может быть запущен или остановлен динамически в зависимости от состояния устройства, за которым операторы внимательно следят, чтобы обеспечить оптимальную работу и сохранить скрытность.
Используя Firebase Cloud Messaging (FCM), вредоносное ПО непрерывно отправляет на командно-контрольный (C2) сервер информацию об уровне заряда батареи и температуре устройства, статусе зарядки, активности использования и о том, перегрелось ли оно.
Останавливая майнинг, когда устройство используется, и ограничивая его физическое воздействие, вредоносное ПО может дольше оставаться незамеченным, добывая криптовалюту, когда позволяют условия.
Хотя «Лаборатория Касперского» зафиксировала все случаи заражения BeatBanker в Бразилии, вредоносное ПО может распространиться на другие страны, если докажет свою эффективность, поэтому рекомендуется бдительность и соблюдение правил безопасности.
Пользователям Android не следует устанавливать APK-файлы из сторонних источников вне официального магазина Google Play, если они не доверяют издателю/распространителю, следует проверять предоставленные разрешения на наличие рискованных, не относящихся к функциональности приложения, и регулярно выполнять сканирование с помощью Play Protect.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
