Von Kaspersky entdeckt, die BeatBanker-Malware für Android zielt mit gefälschten Apps auf brasilianische Nutzer ab, darunter eine Nachahmung der Starlink-App. Diese Bedrohung kombiniert einen Banktrojaner mit einem Kryptowährungs-Miner und Spionagefunktionen.

Wie schafft es BeatBanker, Smartphones zu infiltrieren?

Die Falle nimmt auf Phishing-Seiten Gestalt an die die Google Play Store-Oberfläche nachbilden. Opfer werden dazu verleitet, eine scheinbar legitime Anwendung herunterzuladen.

Um der Wachsamkeit entgegenzuwirken, erfolgt die Installation in mehreren Schritten. Die Fake-App täuscht ein Update vor und bittet um Erlaubnis, unbekannte Pakete zu installieren, was ihm ermöglicht, seine schädlichen Module direkt in den Speicher herunterzuladen.

Trojaner-Komponenten werden verschlüsselt und führen Überprüfungen durch, um sicherzustellen, dass sie nicht in einer Scan-Umgebung ausgeführt werden. Die Angreifer nutzen auch den Dienst Firebase Cloud Messaging (FCM) von Google.

Eine originelle Persistenztechnik

Um zu verhindern, dass die Batterieoptimierungssysteme von Android einen Monero-Mining-Prozess beenden, spielt die Malware kontinuierlich eine Audiodatei ab von fünf Sekunden fast unhörbar.

Kaspersky erklärt, dass Betriebssysteme dazu neigen, Anwendungen, die Audio abspielen, nicht zu unterbrechen, was die Malware ständig am Laufen hält und ihr daher den Namen BeatBanker einbringt.

Um diskret zu bleiben, wartet die Malware nach der Installation eine gewisse Zeit, bevor sie ihre Aktivitäten beginnt. Darüber hinaus überwacht es den Gerätestatus über FCM und unterbricht das Mining, wenn das Gerät überhitzt, der Akku fast leer ist oder der Benutzer aktiv ist.

Eine mächtige RATTE herum

Über das Kryptowährungs-Mining hinaus setzt BeatBanker Spionagemodule ein. Durch den Erhalt von Zugriffsberechtigungen kann es alle Aktivitäten auf dem Bildschirm überwachen.

Es ist in der Lage, gefälschte Fenster in Anwendungen wie Binance oder Trust Wallet einzublenden, um Kryptowährungstransaktionen abzufangen und Gelder in die Wallets der Angreifer umzuleiten.

In seiner neuesten Version installiert BeatBanker den Remote Access Trojaner BTMOB für nahezu vollständige Kontrolle über das Gerät.