СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
11 марта
#ИБ

BeatBanker: Android-троян для кражи банковских данных и майнинга криптовалют

BeatBanker — это продвинутый Android Trojan, нацеленный на пользователей в Бразилии. Отчет раскрывает многоаспектный характер угрозы: злоумышленники одновременно стремятся красть банковские учетные данные и использовать вычислительные ресурсы заражённых устройств для добычи криптовалюты.

Как распространяется и маскируется

Основной канал распространения — фишинговые сайты, замаскированные под Google Play Store. Жертве предлагается скачать APK, замаскированный под официальное приложение национального социального страхования Бразилии. Начальный процесс инфекции часто начинается с поддельного веб‑сайта, предлагающего приложение под названием «INSS Reembolso», которое выглядит как легитимная услуга, но после установки выполняет вредоносные команды авторов.

«INSS Reembolso» маскируется под легитимную услугу, но его цель состоит в том, чтобы выполнять вредоносные команды после установки.

Архитектура и ключевые компоненты

Вредоносный APK включает несколько компонентов, сочетающих функции банковского трояна и майнера криптовалюты. Ключевые технические особенности:

  • Банковский функционал: создание поддельных страниц наложения (overlay) для перехвата учетных данных и транзакционных данных, в том числе при взаимодействии с популярными криптовалютными приложениями — Binance и Trust Wallet.
  • Криптомайнинг: после установки BeatBanker загружает ELF‑файл с полезной нагрузкой для майнинга, которая использует ресурсы устройства.
  • Безфайловая реализация: троян выполняет полезную нагрузку без создания видимых файлов на файловой системе, применяя Java Native Interface для выполнения нативного кода.
  • Связь с C2: коммуникация с инфраструктурой злоумышленников осуществляется через Firebase — Firebase Cloud Messaging, что облегчает отправку команд и обновлений.
  • Анти‑анализ и скрытное поведение: различные меры против анализа для обхода систем безопасности и детектирования.

Инновации в устойчивости: «почти не слышимый» звук как защита

Одной из заметных и необычных характеристик BeatBanker является механизм устойчивости: троян воспроизводит практически не слышимый аудиофайл на повторе. Это делает приложение активным и усложняет его завершение системой управления энергопотреблением. Аудиоинтеграция связана с функциями мониторинга — вредонос проверяет состояние батареи и использование устройства, чтобы оставаться активным и не привлекать внимание пользователя.

Расширенные возможности контроля и наблюдения

BeatBanker предоставляет злоумышленникам широкий набор возможностей для удалённого контроля и слежки:

  • захват экрана;
  • запись аудио;
  • удалённая отправка команд для сбора личной информации;
  • управление функционалом устройства и запуск майнеров.

Новые варианты и эволюция вредоноса

Наблюдаются новые варианты BeatBanker, в которых банковские функции заменяются инструментом удалённого администрирования BTMOB (RAT). Эти варианты сохраняют те же алгоритмы устойчивости — слабый звуковой цикл и использование социальной инженерии через мошеннические приложения — что обеспечивает надёжное удержание на инфицированных устройствах.

Последствия и риск для пользователей

Угрозы, исходящие от BeatBanker, многообразны и включают:

  • финансовое воровство через перехват банковских и криптовалютных учетных данных;
  • конфиденциальная слежка за пользователем (аудио, экран);
  • несанкционированное использование ресурсов устройства для майнинга;
  • удалённый контроль над устройством и возможное дальнейшее распространение угрозы.

Как защититься

Рекомендации по снижению риска заражения и минимизации ущерба:

  • Устанавливайте приложения только из официальных источников — Google Play Store и проверенные магазины.
  • Проверяйте запрашиваемые разрешения — особенно доступ к экрану, аудио, управлению установками и правам администратора устройства.
  • Не доверяйте ссылкам и сайтам, которые имитируют Google Play Store; сверяйте домены и цифровые подписи приложений.
  • Держите систему и антивредоносные решения в актуальном состоянии.
  • При подозрительном поведении устройства (резкое падение заряда батареи, перегрев, замедление) выполните проверку с помощью антивируса и, при необходимости, сбросьте устройство и восстановите из надёжной резервной копии.

Вывод

BeatBanker демонстрирует высокую степень организационной и технической зрелости: сочетание фишинга, скрытного исполнения нативного кода, использования Firebase для командного управления и оригинальных тактик устойчивости делает угрозу серьёзной для пользователей в Бразилии. В условиях эволюции таких кампаний особенно важна бдительность пользователей и своевременное обновление механизмов защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: