Вредонос BeatBanker, маскируясь под приложение от Starlink, предлагает жертвам либо банковский троянец, либо комбинацию RAT-программы и криптомайнера.
Специалисты «Лаборатории Касперского» обнаружили банковский троянец для Android, который притворяется клиентом спутниковой сети Starlink. Страницы для его загрузки стилизованы под официальный магазин Google Play.
Основной целью BeatBanker являются пользователи в Бразилии. Помимо атак на финансовые операции, он внедряет нелегальный майнер Monero и обладает возможностью перехватывать транзакции с криптовалютой.
В последних обновлениях BeatBanker загружает дополнительный вредонос — BTMOB RAT, который берёт на себя функции банковского модуля. Как следует из названия, BTMOB является инструментом для удалённого администрирования.
Устройства, заражённые этим компонентом, фактически переходят под полный контроль злоумышленников. BTMOB также может перехватывать ввод с клавиатуры, записывать экран, получать доступ к камере, отслеживать местоположение по GPS и напрямую красть учётные данные.
Распространение BeatBanker происходит через APK-файлы. Они используют встроенные библиотеки для расшифровки и загрузки скрытого DEX-кода (одной из форм исполняемых файлов) непосредственно в память, что повышает его скрытность.
Перед активацией вредонос анализирует окружение на предмет виртуализации, а пользователю показывает фальшивый экран Google Play. Через него зловред получает разрешения, необходимые для загрузки дополнительных модулей.
Процесс загрузки и другие вредоносные операции запускаются после некоторой паузы.
Особый интерес вызывает механизм поддержания активности: вредонос непрерывно воспроизводит один и тот же MP3-файл с пятисекундной китайской фразой, которую почти невозможно расслышать. Эксперты «Лаборатории Касперского» поясняют, что постоянное воспроизведение через MediaPlayer не позволяет операционной системе приостановить основной процесс вредоносного приложения.
Криптомайнинг-компонент представляет собой изменённую версию XMRig (6.17.0), скомпилированную для ARM-процессоров. Майнер подключается к контролируемым злоумышленниками пулам через зашифрованные TLS-соединения и переключается на прокси, если основной адрес становится недоступен.
Работа майнера может автоматически включаться и выключаться в зависимости от текущих условий на устройстве; по данным исследователей, эти параметры «тщательно мониторятся» злоумышленниками через сервис Firebase Cloud Messaging, который регулярно передаёт на управляющий сервер данные об уровне заряда батареи, подключении к сети питания, активности использования и температуре гаджета.
Ключевая задача — найти баланс между эффективностью майнинга и его скрытностью: чем дольше владелец устройства остаётся в неведении, тем больше прибыли извлекает злоумышленник.
«Согласно отчёту «Лаборатории Касперского», первоначальное попадание вредоносной программы в систему пользователя не связано с использованием уязвимостей — здесь применяется метод социальной инженерии: пользователя вводят в заблуждение, чтобы он сам ослабил защиту своего устройства, — поясняет Александр Зонов, специалист по кибербезопасности компании SEQ. — Основные меры предосторожности включают проверку источника приложения: если это не официальный магазин Google Play, а сторонний сайт, его имитирующий, это уже «тревожный сигнал»; запрос чрезмерных разрешений — также причина насторожиться.
Эксперт также отметил, что для распространителей вредоносного программного обеспечения довольно характерно использовать в качестве приманки популярные названия, что и происходит в данном случае.
