Um novo malware para Android, chamado BeatBanker, tem sequestrado dispositivos ao enganar usuários, que são induzidos a instalá-lo por meio de falsos aplicativos Starlink em sites que replicam o visual oficial da Google Play Store.
Esse malware combina funções de trojan bancário com mineração de Monero, roubando credenciais e interferindo em transações de criptomoedas.
Pesquisadores da Kaspersky identificaram o BeatBanker em campanhas direcionadas a usuários no Brasil.
A versão mais recente do malware não utiliza mais o módulo bancário, mas sim um trojan de acesso remoto Android conhecido como BTMOB RAT.
O BTMOB RAT oferece aos operadores controle total do dispositivo, keylogging, gravação da tela, acesso à câmera, rastreamento por GPS e coleta de credenciais.
O BeatBanker é distribuído em arquivos APK que empregam bibliotecas nativas para descriptografar e carregar códigos DEX ocultos diretamente na memória, dificultando sua detecção.
Antes de ativar suas funções maliciosas, ele realiza verificações no ambiente para garantir que não está sendo analisado.
Se aprovado, exibe uma falsa tela de atualização da Play Store para convencer a vítima a conceder permissões que permitem a instalação de cargas adicionais.
Para não levantar suspeitas, o malware atrasa a execução de suas ações maliciosas por um tempo após a instalação.
Uma técnica incomum usada pelo BeatBanker para manter persistência no sistema é a reprodução contínua de um áudio quase inaudível de cinco segundos com fala em chinês, contido em um arquivo MP3 chamado output8.mp3.
Segundo a Kaspersky, “o componente KeepAliveServiceMediaPlayback mantém a operação contínua ao iniciar uma reprodução ininterrupta via MediaPlayer.
Isso mantém o serviço ativo em primeiro plano por meio de uma notificação e carrega um arquivo de áudio pequeno e contínuo.
Essa atividade constante impede que o sistema suspenda ou encerre o processo por inatividade”.
Para minerar Monero, o malware usa uma versão modificada do minerador XMRig 6.17.0, compilada para dispositivos ARM.
O XMRig conecta-se a pools de mineração controlados pelos atacantes via conexões TLS criptografadas e utiliza um proxy caso o endereço principal falhe.
O minerador pode ser ativado ou pausado conforme as condições do dispositivo, monitoradas cuidadosamente pelos operadores para garantir eficiência e discrição.
Utilizando o Firebase Cloud Messaging (FCM), o BeatBanker envia constantemente ao servidor de comando e controle informações sobre nível de bateria, temperatura, status de carregamento, atividade e possíveis superaquecimentos do aparelho.
Com isso, o malware interrompe a mineração quando o dispositivo está em uso ativo e limita seu impacto físico, permitindo permanecer oculto por mais tempo e minerar criptomoedas apenas em condições favoráveis.
Embora todas as infecções observadas pela Kaspersky tenham ocorrido no Brasil até o momento, há risco de o malware se espalhar para outros países caso continue eficaz.
Por isso, é fundamental manter práticas rigorosas de segurança.
Usuários de Android devem evitar instalar APKs fora da Google Play Store, a menos que confiem plenamente no distribuidor.
É importante revisar as permissões concedidas, especialmente aquelas que envolvem riscos e não se relacionam à função original do aplicativo, além de realizar análises regulares com o Play Protect.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...