Новиот Android малвер BeatBanker се претставува како Starlink апликација за да преземе контрола врз уредите

Нов Android малвер наречен BeatBanker може да преземе контрола врз уредите и ги мами корисниците да го инсталираат претставувајќи се како апликација на Starlink на веб-страници кои се претставуваат како официјалната продавница Google Play Store.

Малверот комбинира функции на банкарски тројанец со копање на криптовалутата Monero, и може да:

• краде кориснички креденцијали
• манипулира со криптовалутни трансакции

Истражувачите од Kaspersky го откриле BeatBanker во кампањи насочени кон корисници во Brazil. Тие исто така откриле дека најновата верзија на малверот користи познат Android remote access trojan (RAT) наречен BTMOB RAT, наместо претходниот банкарски модул.

BTMOB RAT им овозможува на операторите:

• целосна контрола врз уредот
• снимање на притисоци на тастатурата (keylogging)
• снимање на екранот
• пристап до камерата
• следење на GPS локацијата
• крадење на креденцијали

Перзистентност преку MP3

BeatBanker се дистрибуира како APK датотека која користи native библиотеки за да дешифрира и вчита скриен DEX код директно во меморијата, со цел да избегне детекција.

Пред да започне со работа, малверот врши проверки на околината за да се увери дека не се анализира (на пример од безбедносни истражувачи или sandbox системи).

Ако проверките поминат успешно, се прикажува лажен екран за ажурирање на Google Play Store, со што жртвата се измамува да му додели дозволи на малверот за инсталирање на дополнителни малициозни компоненти (payloads).

За да избегне активирање на било какви аларми, BeatBanker ги одложува малициозните активности одреден период по инсталацијата.

Според истражувачите од Kaspersky, малверот користи необичен метод за одржување перзистентност, кој се состои во тоа што постојано пушта речиси нечујна 5-секундна аудио снимка на кинески говор од MP3 датотека наречена output8.mp3.

„Компонентата KeepAliveServiceMediaPlayback обезбедува континуирана работа со започнување непрекинато пуштање аудио преку MediaPlayer,“ објаснува Kaspersky во извештајот.

„Таа го одржува сервисот активен во преден план (foreground) преку нотификација и вчитува мала, континуирана аудио датотека. Оваа постојана активност спречува системот да го суспендира или прекине процесот поради неактивност.“

Скриено копање на криптовалути

BeatBanker користи модифицирана верзија на XMRig miner 6.17.0, компајлирана за ARM уреди, за да копа Monero на Android уредите.

XMRig се поврзува со mining pool-ови контролирани од напаѓачите преку шифрирани TLS конекции. Доколку примарната адреса не функционира, малверот автоматски се префрла на proxy сервер како резервна опција.

Рударот (Miner) може динамички да се стартува или запре во зависност од состојбата на уредот, што операторите внимателно го следат за да обезбедат оптимална работа и да ја задржат скриеноста.

Со користење на Firebase Cloud Messaging (FCM), малверот постојано испраќа информации до command-and-control (C2) серверот за:

• нивото на батеријата
• температурата на уредот
• дали уредот се полни
• активноста на користење
• дали уредот се прегреал

Со запирање на копањето криптовалути кога уредот активно се користи и со ограничување на влијанието врз перформансите, малверот може подолго да остане незабележан, копајќи криптовалута само кога условите го дозволуваат тоа.

Иако истражувачите од Kaspersky ги забележале сите инфекции на BeatBanker во Brazil, малверот може да се прошири и во други земји ако се покаже успешен. Затоа се препорачува внимателност и практикување добри безбедносни навики.

Корисниците на Android не треба да инсталираат APK апликации од надворешни извори, освен ако не му веруваат на издавачот или дистрибутерот. Исто така се препорачува:

• да се проверуваат дозволите што апликациите ги бараат, особено ако се ризични и не се поврзани со функцијата на апликацијата
• редовно да се извршува скенирање со Google Play Protect.

Извори:

• Bleeping Computer – New BeatBanker Android malware poses as Starlink app to hijack devices Bleeping Computer