Ένα νέο κακόβουλο λογισμικό Android με το όνομα BeatBanker μπορεί να κλέβει συσκευές και να ξεγελά τους χρήστες για να το εγκαταστήσουν υποδυόμενος ως εφαρμογή Starlink σε ιστότοπους που μεταμφιέζονται ως το επίσημο Google Play Store.
Το κακόβουλο λογισμικό συνδυάζει λειτουργίες τραπεζικού trojan με εξόρυξη Monero και μπορεί να κλέψει διαπιστευτήρια, καθώς και να παραβιάσει συναλλαγές κρυπτονομισμάτων.
Οι ερευνητές της Kaspersky ανακάλυψαν το BeatBanker σε καμπάνιες που στοχεύουν χρήστες στη Βραζιλία. Διαπίστωσαν επίσης ότι η πιο πρόσφατη έκδοση του κακόβουλου λογισμικού αναπτύσσει το εμπόρευμα trojan απομακρυσμένης πρόσβασης Android που ονομάζεται BTMOB RAT, αντί για την τραπεζική μονάδα.
Το BTMOB RAT παρέχει στους χειριστές πλήρη έλεγχο συσκευών, καταγραφή πλήκτρων, εγγραφή οθόνης, πρόσβαση κάμερας, παρακολούθηση GPS και δυνατότητες λήψης διαπιστευτηρίων.
Εμμονή μέσω MP3
Το BeatBanker διανέμεται ως αρχείο APK που χρησιμοποιεί εγγενείς βιβλιοθήκες για την αποκρυπτογράφηση και τη φόρτωση του κρυφού κώδικα DEX απευθείας στη μνήμη, για αποφυγή.
Πριν από την εκκίνηση, εκτελεί ελέγχους περιβάλλοντος για να διασφαλίσει ότι δεν αναλύεται. Εάν περάσει, εμφανίζει μια ψεύτικη οθόνη ενημέρωσης του Play Store για να ξεγελάσει τα θύματα ώστε να του παραχωρήσουν δικαιώματα εγκατάστασης πρόσθετων ωφέλιμων φορτίων.
Πηγή: Kaspersky
Για να αποφύγει την ενεργοποίηση τυχόν συναγερμών, το BeatBanker καθυστερεί τις κακόβουλες λειτουργίες για ένα διάστημα μετά την εγκατάστασή του.
Σύμφωνα με την Kaspersky, το κακόβουλο λογισμικό έχει μια ασυνήθιστη μέθοδο διατήρησης της επιμονής, η οποία συνίσταται στη συνεχή αναπαραγωγή μιας σχεδόν μη ακουστής εγγραφής 5 δευτερολέπτων της κινεζικής ομιλίας από ένα αρχείο MP3 που ονομάζεται έξοδος8.mp3.
“Το στοιχείο KeepAliveServiceMediaPlayback εξασφαλίζει συνεχή λειτουργία με την έναρξη της αδιάλειπτης αναπαραγωγής μέσω του MediaPlayer.” Η Kaspersky εξηγεί σε σημερινή έκθεση.
“Διατηρεί την υπηρεσία ενεργή στο προσκήνιο χρησιμοποιώντας μια ειδοποίηση και φορτώνει ένα μικρό, συνεχές αρχείο ήχου. Αυτή η συνεχής δραστηριότητα εμποδίζει το σύστημα να αναστείλει ή να τερματίσει τη διαδικασία λόγω αδράνειας.”
Κρυφή εξόρυξη κρυπτονομισμάτων
Το BeatBanker χρησιμοποιεί μια τροποποιημένη XMRig miner έκδοση 6.17.0, μεταγλωττισμένη για συσκευές ARM, για την εξόρυξη του Monero σε συσκευές Android. Το XMRig συνδέεται σε δεξαμενές εξόρυξης ελεγχόμενες από τους εισβολείς χρησιμοποιώντας κρυπτογραφημένες συνδέσεις TLS και επιστρέφει σε έναν διακομιστή μεσολάβησης εάν η κύρια διεύθυνση αποτύχει.
Πηγή: Kaspersky
Το miner μπορεί να ξεκινήσει ή να σταματήσει δυναμικά με βάση τις συνθήκες της συσκευής, τις οποίες οι χειριστές παρακολουθούν στενά για να εξασφαλίσουν τη βέλτιστη λειτουργία και να διατηρήσουν τη μυστικότητα.
Χρησιμοποιώντας το Firebase Cloud Messaging (FCM), το κακόβουλο λογισμικό στέλνει συνεχώς πληροφορίες στον διακομιστή εντολών και ελέγχου (C2) σχετικά με το επίπεδο και τη θερμοκρασία της μπαταρίας της συσκευής, την κατάσταση φόρτισης, τη δραστηριότητα χρήσης και αν έχει υπερθερμανθεί.
Σταματώντας την εξόρυξη όταν χρησιμοποιείται η συσκευή και περιορίζοντας τις φυσικές επιπτώσεις της, το κακόβουλο λογισμικό μπορεί να παραμείνει κρυφό για μεγαλύτερο χρονικό διάστημα, εξόρυξη κρυπτονομισμάτων όταν το επιτρέπουν οι συνθήκες.
Ενώ η Kaspersky παρατήρησε όλες τις μολύνσεις του BeatBanker στη Βραζιλία, το κακόβουλο λογισμικό θα μπορούσε να επεκταθεί σε άλλες χώρες εάν αποδειχθεί αποτελεσματικό, επομένως συνιστάται επαγρύπνηση και καλές πρακτικές ασφαλείας.
Οι χρήστες Android δεν θα πρέπει να φορτώνουν πλευρικά APK εκτός του επίσημου καταστήματος Google Play, εκτός εάν εμπιστεύονται τον εκδότη/διανομέα, θα πρέπει να ελέγχουν τις χορηγηθείσες άδειες για επικίνδυνα που δεν σχετίζονται με τη λειτουργικότητα της εφαρμογής και να εκτελούν τακτικές σαρώσεις του Play Protect.
Το κακόβουλο λογισμικό γίνεται πιο έξυπνο. Η Κόκκινη Έκθεση 2026 αποκαλύπτει πώς οι νέες απειλές χρησιμοποιούν τα μαθηματικά για να ανιχνεύουν sandbox και να κρύβονται σε κοινή θέα.
Κατεβάστε την ανάλυσή μας για 1,1 εκατομμύρια κακόβουλα δείγματα για να αποκαλύψετε τις 10 κορυφαίες τεχνικές και να δείτε εάν η στοίβα ασφαλείας σας έχει τυφλωθεί.
VIA: bleepingcomputer.com
