Un nou malware pentru Android combină furtul de date bancare cu mineritul de criptomonede, ridicând semnale de alarmă
Un nou tip de malware pentru dispozitivele Android, denumit “BeatBanker”, combină funcții de troian bancar cu minerit de criptomonede, demonstrând o evoluție a criminalității informatice mobile. Scopul atacatorilor este de a maximiza profitul și de a rămâne nedetectați pe dispozitiv cât mai mult timp. Analizele experților în securitate cibernetică au scos la iveală metode sofisticate de infectare și persistență pe dispozitivele victimelor.
Cum funcționează atacul și cum evită depistarea
BeatBanker se răspândește prin fișiere APK instalate în afara magazinului oficial Google Play. Odată ajuns pe telefon, malware-ul folosește tehnici specifice pentru a-și ascunde codul și a evita detectarea ușoară. Înainte de a începe activitățile malițioase, verifică mediul de rulare pentru a se asigura că nu este analizat într-un mediu controlat.
Victimele sunt induse în eroare prin ecrane false de actualizare a magazinului Play, concepute pentru a obține permisiuni suplimentare. „Interfața pare familiară, mesajul pare legitim, iar utilizatorul are impresia că doar aprobă o actualizare de rutină”, spun experții. În realitate, aceste permisiuni deschid calea pentru instalarea altor componente periculoase.
Un alt aspect remarcabil este întârzierea anumitor operațiuni malițioase. „Malware-ul întârzie deliberat o parte dintre operațiunile malițioase după instalare, tocmai pentru a nu ridica suspiciuni”, au precizat cercetătorii. BeatBanker apelează la o tehnică neobișnuită pentru a rămâne activ. Folosește un fișier MP3 aproape imperceptibil, care redă în buclă un clip audio de scurtă durată, menținând serviciul activ în prim-plan.
De la atacuri financiare la controlul total al telefonului
BeatBanker a fost conceput inițial pentru a fura date bancare și a mina criptomonede. Cercetătorii au descoperit că malware-ul poate manipula tranzacții crypto. Partea de minerit folosește o versiune modificată a XMRig 6.17.0, optimizată pentru dispozitivele ARM, destinată mineritului de Monero. Atacatorii își adaptează activitatea în funcție de condițiile telefonului, monitorizând nivelul bateriei, temperatura și gradul de utilizare.
Mai mult, în cele mai recente campanii, BeatBanker a fost observat schimbând modulul bancar cu BTMOB RAT, un troian de acces la distanță. Acesta oferă atacatorilor control extins asupra dispozitivului, inclusiv keylogging, captură de ecran, înregistrare video, acces la cameră, urmărire GPS și furt de credențiale. Schimbarea demonstrează flexibilitatea atacatorilor și capacitatea lor de a se adapta la diverse scenarii.
Până în prezent, infecțiile au fost observate în Brazilia. Experții avertizează că malware-ul se poate extinde și în alte țări. Distribuția prin site-uri care imită Google Play și mascarea în aplicații credibile sunt tactici ușor de adaptat la alte piețe. Recomandările includ instalarea de aplicații doar din surse de încredere și verificarea permisiunilor solicitate.
Potrivit ultimelor informații, specialiștii în securitate cibernetică monitorizează îndeaproape evoluția acestui tip de malware, dar și posibilele răspândiri în alte zone geografice.
Sursa: Playtech.ro
