Un nou malware pentru Android combină furtul de date bancare cu mineritul de criptomonede
Un nou tip de malware pentru dispozitivele Android, denumit BeatBanker, reprezintă o evoluție îngrijorătoare în peisajul criminalității informatice mobile. Acesta nu se limitează la un singur scop, ci combină furtul de date bancare cu mineritul de criptomonede, maximizând astfel potențialul de profit și prelungind perioada în care rămâne nedetectat pe dispozitivul victimei. Analizele realizate de experți în securitate cibernetică au scos la iveală funcționalitățile complexe și tehnicile de camuflaj folosite de acest malware.
Metode de infectare și camuflaj sofisticat
BeatBanker este distribuit sub forma unui fișier APK, instalat în afara magazinului oficial Google Play. Odată ajuns pe telefonul victimei, malware-ul folosește tehnici de ascundere pentru a îngreuna analiza și detectarea. O strategie ingenioasă este utilizarea librăriilor native pentru a decripta și încărca în memorie cod DEX ascuns. Înainte de a începe activitățile malițioase, malware-ul verifică mediul în care rulează, pentru a se asigura că nu este examinat într-un mediu controlat.
După aceste verificări, victima este întâmpinată cu un ecran fals de actualizare Play Store, creat pentru a o induce în eroare și a obține permisiuni suplimentare. Această tactică, care se bazează pe familiaritatea utilizatorilor cu interfața, este eficientă. În realitate, acceptarea actualizării permite instalarea altor componente periculoase. BeatBanker întârzie deliberat anumite operațiuni malițioase, crescând șansele de a trece neobservat. O altă tehnică remarcabilă este utilizarea unui fișier MP3 aproape imperceptibil, care rulează în buclă pentru a menține serviciul activ în prim-plan. Această metodă ingenioasă exploatează modul în care sistemul gestionează serviciile audio, prelungind astfel prezența malware-ului pe dispozitiv.
De la furt financiar la control total
BeatBanker include funcții de troian bancar, capabil să fure date și să compromită operațiuni financiare. Mai mult, malware-ul se folosește de o versiune modificată a XMRig pentru a mina Monero. Conexiunea către pool-urile controlate de atacatori este protejată prin TLS, iar malware-ul monitorizează nivelul bateriei, temperatura telefonului și gradul de utilizare. Acesta activează și dezactivează mineritul în funcție de aceste condiții, pentru a rămâne discret și a prelungi durata de viață a infecției.
Într-o turnură alarmantă, s-a observat că BeatBanker poate renunța la modulul bancar în favoarea BTMOB RAT, un troian de acces la distanță care oferă control extins asupra dispozitivului. Acesta include keylogging, captură de ecran, acces la cameră, urmărire GPS și furt de credențiale. Aceasta demonstrează flexibilitatea campaniei, atacatorii putând adapta tacticile în funcție de eficiență și oportunitate.
Experții în securitate cibernetică recomandă utilizatorilor să nu instaleze aplicații din surse necunoscute, să verifice cu atenție permisiunile solicitate de aplicații și să folosească scanări regulate cu Play Protect pentru a se proteja.
Analizele privind acest nou tip de amenințare au demonstrat că frontiera dintre malware bancar, spyware și cryptojacking se estompează tot mai mult. Acesta este un semnal clar că amenințările mobile devin mai adaptive și mai eficiente.
Sursa: Playtech.ro
