Noul malware BeatBanker pentru Android se prezintă ca aplicația Starlink

Un nou malware pentru Android numit BeatBanker poate deturna dispozitive și îi poate determina pe utilizatori să îl instaleze, prezentându-se ca o aplicație Starlink pe site-uri web care se dau drept magazinul oficial Google Play Store.

Malware-ul combină funcțiile trojan-ului bancar cu mining-ul Monero și poate sustrage datele de autentificare, precum și manipuza tranzacțiile cu criptomonede.

Specialiștii au descoperit că cea mai recentă versiune a malware-ului utilizează trojan-ul Android de acces la distanță numit BTMOB RAT, în locul modulului bancar.

BTMOB RAT oferă operatorilor control complet asupra dispozitivelor, înregistrarea tastelor, înregistrarea ecranului, acces la cameră, urmărire GPS și capacități de captare a datelor de autentificare.

BeatBanker este distribuit ca fișier APK care utilizează biblioteci native pentru a decripta și încărca codul DEX ascuns direct în memorie, în scopul evitării detectării.

Înainte de declanșare, efectuează verificări ale sistemului pentru a se asigura că nu este analizat. Dacă verificările sunt reușite, afișează un ecran fals de actualizare a Play Store pentru a determina utilizatorii să îi acorde permisiuni pentru instalarea de payload-uri suplimentare.

Pentru a evita declanșarea alarmelor, BeatBanker întârzie operațiunile rău intenționate pentru o perioadă după instalare.

BeatBanker utilizează o versiune modificată a minerului XMRig 6.17.0, compilată pentru dispozitive ARM, pentru a mina Monero pe dispozitive Android. XMRig se conectează la pool-uri de minerit controlate de atacatori utilizând conexiuni TLS criptate și revine la un proxy dacă adresa principală eșuează.

Folosind Firebase Cloud Messaging (FCM), malware-ul trimite în mod continuu serverului de comandă și control (C2) informații despre nivelul bateriei și temperatura dispozitivului, starea de încărcare, activitatea de utilizare și dacă acesta s-a supraîncălzit.

Oprind mineritul atunci când dispozitivul este în uz și limitând impactul fizic al acestuia, malware-ul poate rămâne ascuns pentru o perioadă mai lungă de timp, minerind criptomonede atunci când condițiile o permit.

Utilizatorii Android nu ar trebui să descarce APK–uri din afara magazinului oficial Google Play, cu excepția cazului în care au încredere în editor/distribuitor, ar trebui să verifice permisiunile acordate pentru cele cu risc care nu sunt relevante pentru funcționalitatea aplicației și să efectueze scanări regulate cu Play Protect.

Sursă: https://www.bleepingcomputer.com/news/security/new-beatbanker-android-malware-poses-as-starlink-app-to-hijack-devices/