Реклама. 18+. Рекламодатель ООО "ЮЗЕРГЕЙТ", ИНН 5408308256, erid:2SDnjebHh8M
Image

UserGate Open Conf 2026

Соберём 3000+ экспертов ИБ в одном месте. Роадмапы, лабы, нагрузочные тестирования и анонсы двух новых продуктов. Регистрация открыта!

Из вашего смартфона доносится шёпот китайского мужчины? Это троян BeatBanker отчаянно пытается удержаться в фоне

leer en español

BeatBanker Starlink INSS Reembolso Android Лаборатория Касперского BTMOB RAT XMRig вредоносное ПО
Из вашего смартфона доносится шёпот китайского мужчины? Это троян BeatBanker отчаянно пытается удержаться в фоне
BeatBanker Starlink INSS Reembolso Android Лаборатория Касперского BTMOB RAT XMRig вредоносное ПО

Посмотрите, на какие уловки идут взломщики ради доступа к чужим деньгам.

image

Аналитики «Лаборатории Касперского» обнаружили программу для Android под названием BeatBanker, которая маскируется под приложение спутникового интернета Starlink. Злоумышленники распространяют файл через сайты, имитирующие официальный магазин Google Play. После установки программа получает доступ к устройству и может выполнять целый набор вредоносных действий — от кражи данных до скрытой добычи криптовалюты.

BeatBanker ориентирован на пользователей из Бразилии и сочетает функции банковского трояна и инструмента для добычи криптовалюты Monero. Вредоносная программа способна перехватывать учётные данные, вмешиваться в криптовалютные транзакции и использовать ресурсы смартфона для майнинга.

APK-файл содержит нативные библиотеки, которые расшифровывают скрытый код и загружают его напрямую в память устройства. Такой подход помогает обходить защитные механизмы. Перед запуском программа проверяет среду, чтобы убедиться в отсутствии анализа. Если проверка проходит успешно, пользователь видит поддельное окно обновления Google Play. Сообщение убеждает предоставить разрешения, необходимые для загрузки дополнительных компонентов.

В ранних версиях BeatBanker работал исключительно как банковский троян, однако более свежие образцы внедряют удалённый троян BTMOB RAT. Такой инструмент предоставляет полный контроль над смартфоном. Операторы получают возможность записывать нажатия клавиш, делать снимки экрана, включать камеру, отслеживать геолокацию и перехватывать учётные данные.

Авторы вредоносной программы применили весьма занимательный механизм закрепления в системе. Сервис KeepAliveServiceMediaPlayback непрерывно воспроизводит почти неслышимую пятисекундную аудиозапись китайской речи из файла output8.mp3. Постоянное воспроизведение удерживает процесс в активном состоянии и не позволяет системе завершить работу сервиса из-за бездействия.

BeatBanker также запускает модифицированную версию майнера XMRig 6.17.0, собранную для устройств на базе ARM. Программа подключается к майнинговым пулам через защищённые соединения TLS. Если основной адрес становится недоступным, используется резервный прокси-сервер.

Вредоносная программа внимательно следит за состоянием смартфона. Через систему Firebase Cloud Messaging сервер управления получает сведения о температуре устройства, уровне заряда батареи, активности пользователя и состоянии зарядки. Майнинг запускается только при подходящих условиях и автоматически прекращается во время активного использования смартфона. Такой подход снижает нагрузку и помогает вредоносной активности дольше оставаться незамеченной.

Помимо приложения Starlink, зловредная программа маскировалась также и под местные бразильские Госуслуги — INSS Reembolso. Пока заражения фиксировались только в Бразилии, однако успешность схемы может привести к распространению вредоносной программы в других странах.