Компания Kaspersky выявила банковский троянец BeatBanker для Android. Он выдаёт себя за приложение глобальной спутниковой системы Starlink и распространяется через сайты, имитирующие Google Play.
BeatBanker атакует преимущественно пользователей в Бразилии. Помимо кражи банковских данных, троянец устанавливает криптомайнер Monero и может перехватывать криптовалютные транзакции.
В новых версиях вредонос подгружает BTMOB RAT — программу удалённого контроля. Она позволяет злоумышленникам отслеживать GPS, записывать экран, управлять камерой и клавиатурой, а также перехватывать данные для входа.
Приложение распространяется в виде APK-файлов. Оно использует стандартные библиотеки для дешифровки и загрузки скрытого кода напрямую в память. Перед запуском проверяет, не работает ли в виртуальной среде, и показывает поддельный экран Google Play для получения разрешений на загрузку компонентов.
BeatBanker постоянно воспроизводит короткий фрагмент MP3-файла на китайском языке. Это препятствует приостановке процесса операционной системой и сохраняет присутствие вредоноса на устройстве.
Криптомайнер представляет собой модифицированный XMRig для ARM-устройств. Он подключается к пулам через зашифрованные TLS-соединения и переключается на прокси, если основной адрес недоступен. Злоумышленники через Firebase Cloud Messaging отслеживают состояние устройства — заряд батареи, использование и температуру — чтобы запускать майнер оптимально и оставаться незамеченными.
Эксперты подчёркивают, что проникновение троянца происходит не через уязвимости, а через социальную инженерию. Пользователя обманывают, заставляя установить вредоносное приложение. Проверка источника приложения и осторожность при предоставлении разрешений остаются основными способами защиты.
Читать далее:
Вселенная внутри черной дыры: наблюдения «Уэбба» подтверждают странную гипотезу
Испытания ракеты Starship Илона Маска вновь закончились взрывом в небе
Сразу четыре похожих на Землю планеты нашли у ближайшей одиночной звезды
Обложка: freepik
