Podszywają się pod Starlink. Tworzą koparki kryptowalut

W kampanii nazwanej BeatBanker cyberprzestępcy wykorzystują strony podszywające się pod oficjalny sklep Google Play. Użytkownik widzi aplikację podobną do Starlink, ale nazwaną "Star Link". Jak opisano w materiale opublikowanym na dobreprogramy.pl, w tle do pamięci urządzenia trafia złośliwy kod DEX, co ma utrudniać jego wykrycie.

BeatBanker rozchodzi się jako pakiet APK i używa natywnych bibliotek Androida do odszyfrowania oraz uruchomienia ukrytego kodu DEX bezpośrednio w pamięci. Przed startem sprawdza też środowisko, by upewnić się, że nie jest analizowany.

Gdy przejdzie kontrolę, wyświetla fałszywy ekran aktualizacji Sklepu Play i wyłudza zgody na instalację kolejnych elementów.

Po instalacji złośliwa aktywność nie uruchamia się od razu. Według opisu Kaspersky malware celowo zwleka z działaniem, aby nie wzbudzać podejrzeń. Nietypowy ma być również sposób utrzymania się w systemie: program stale odtwarza prawie niesłyszalne nagranie, żeby proces pozostawał aktywny. "Komponent KeepAliveServiceMediaPlayback zapewnia ciągłe działanie, inicjując nieprzerwane odtwarzanie przez MediaPlayer" - wyjaśnia Kaspersky w raporcie.

Kaspersky wskazuje, że najnowsza wersja BeatBanker zamiast modułu bankowego wdraża trojana zdalnego dostępu BTMOB RAT, co oznacza szeroką kontrolę nad telefonem. Według badaczy malware potrafi też kraść dane logowania i manipulować transakcjami kryptowalut, a także wykorzystywać zasoby urządzenia do ukrytych działań w tle.

W raporcie opisano również użycie zmodyfikowanej koparki XMRig 6.17.0 dla urządzeń ARM do wydobycia kryptowaluty Monero. Złośliwe oprogramowanie łączy się z pulami kontrolowanymi przez atakujących przez szyfrowane TLS, a gdy pojawiają się problemy z przejściem pod adres, przełącza się na proxy. Wysyła też przez Firebase Cloud Messaging m.in. dane o baterii i temperaturze, aby włączać lub wyłączać kopanie, gdy urządzenie mogłoby się zbyt mocno nagrzać i wzbudzić podejrzenia.