Глобальная группа по исследованию и анализу угроз Kaspersky (GReAT) раскрыла новую кампанию вредоносного ПО для Android, в которой киберпреступники распространяли троянец BeatBanker под видом приложения Starlink для Android. Злоумышленники в первую очередь нацелены на пользователей из Бразилии; тем не менее, эксперты Kaspersky не исключают, что пользователи из других стран также могут столкнуться с этой угрозой. Троянец использует майнер криптовалюты Monero и дополнительно устанавливает инструмент удаленного администрирования (RAT) BTMOB на зараженные устройства. Для обеспечения своей устойчивости BeatBanker использует необычный механизм, включающий почти неслышимый зацикленный аудиофайл.
«Сначала мы видели, как BeatBanker распространялся под видом приложения для государственных услуг; он устанавливал банковский троянец в дополнение к майнеру криптовалюты. Однако наши недавние усилия по обнаружению выявили новую кампанию с другим вариантом BeatBanker, который развертывает BTMOB RAT вместо банковского модуля. Похоже, злоумышленники используют новую приманку в виде приложения Starlink, чтобы охватить больше жертв из разных стран. Поэтому пользователям важно сохранять бдительность и использовать передовые решения для защиты своих смартфонов», — комментирует Фабио Ассолини, руководитель подразделений Латинской Америки и Европы в Kaspersky GReAT.
Начальный вектор заражения
Эксперты Kaspersky полагают, что киберпреступники распространяют поддельное приложение Starlink, содержащее троянец BeatBanker, через фишинговые страницы, имитирующие Google Play Store. После запуска на скомпрометированном устройстве троянец отображает пользовательский интерфейс, который также имитирует Google Play. Киберпреступники обманом заставляют жертв предоставить разрешения на установку, позволяя тем самым загружать дополнительные скрытые вредоносные полезные нагрузки.
Модуль криптомайнинга и BTMOB RAT
Когда пользователь нажимает «ОБНОВИТЬ» на поддельной странице Google Play, развертывается майнер криптовалюты Monero. BeatBanker отслеживает процент заряда батареи и температуру зараженного смартфона, а также активность пользователя, после чего скрытый криптомайнер запускается или останавливается.
Android-троянец также устанавливает BTMOB RAT на скомпрометированное устройство. BTMOB обеспечивает полный удаленный контроль и продается как «вредоносное ПО как услуга» (MaaS). Он способен автоматически предоставлять разрешения, скрывать системные уведомления и имеет механизмы, предназначенные для перехвата учетных данных блокировки экрана, включая PIN-коды, графические ключи и пароли на скомпрометированных устройствах. Вредоносное ПО также дает киберпреступникам доступ к передней и задней камерам, мониторинг местоположения по GPS и постоянный сбор конфиденциальных данных.
Чтобы обеспечить устойчивость и затруднить удаление, BeatBanker поддерживает фиксированное уведомление на переднем плане и активирует фоновую службу с бесшумным воспроизведением медиафайлов. Эта тактика разработана для того, чтобы операционная система не могла завершить вредоносный процесс.
Продукты Kaspersky обнаруживают эту угрозу как HEUR:Trojan-Dropper.AndroidOS.BeatBanker и HEUR:Trojan-Dropper.AndroidOS.Banker.
Для получения дополнительной информации см. публикацию на Securelist.
Чтобы оставаться защищенными от мобильных угроз, Kaspersky рекомендует следующее:
- Загружайте приложения только из официальных магазинов приложений для смартфонов, таких как Apple App Store и Google Play, но помните, что даже загрузка приложений из официальных магазинов не всегда лишена риска.
- Всегда проверяйте отзывы о приложениях, используйте только ссылки с официальных сайтов и устанавливайте надежное защитное ПО, такое как Kaspersky Premium, которое может обнаружить и заблокировать вредоносную активность, если приложение окажется мошенническим.
- Проверяйте разрешения используемых вами приложений и тщательно думайте, прежде чем давать разрешение приложению, особенно когда речь идет о разрешениях с высоким риском, таких как специальные возможности (Accessibility Services).
- Обновляйте свою операционную систему и важные приложения по мере появления обновлений. Многие проблемы безопасности могут быть решены путем установки обновленных версий программного обеспечения.
О Kaspersky GReAT
Глобальный центр исследования и анализа угроз Kaspersky GReAT основан в 2008 году. В его задачи входит поиск и исследование наиболее сложных атак, кампаний кибершпионажа, новых методов заражения, эксплойтов, использующих уязвимости нулевого дня. Сегодня в команде центра более 35+ экспертов, работающих по всему миру — в Европе, России, Южной Америке, Азии, на Ближнем Востоке. Они известны своими достижениями в расследовании наиболее сложных атак, включая кампании кибершпионажа и киберсаботажа.
