Поделиться
Вредонос для Android выдает себя за приложение Starlink, заражая устройства банковскими троянами и криптомайнерами
Вредонос BeatBanker под видом приложения от сервиса Starlink подсовывает жертвам либо банковский троянец, либо RAT-программу, и криптомайнер впридачу
Это Starlink. Правда-правда!
Компания Kaspersky («Лаборатория Касперского») сообщила о выявлении банковского троянца под ОС Android, который выдаёт себя за приложение Starlink. Сайты, с которых его предлагается скачать, визуально имитируют Google Play Store.
Троянец BeatBanker атакует преимущественно граждан Бразилии; помимо, собственно, атак на банковские соединения он устанавливает криминальный криптомайнер Monero и способен перехватывать криптовалютные транзакции.
В самых свежих версиях BeatBanker подгружает ещё один вредонос - BTMOB RAT, который заменяет «банковский» компонент; как можно понять из названия, BTMOB - это инструмент удалённого доступа и контроля.
Действительно, заражённые этим компонентом устройства могут быть поставлены под полный контроль злоумышленников. BTMOB также поддерживает перехват нажатий виртуальных клавиш, запись экрана, доступ к камере, отслеживание GPS-координат и прямой перехват реквизитов доступа.
BeatBanker распространяется в виде APK-файлов, которые используют штатные библиотеки для дешифровки и загрузки скрытого кода DEX (разновидности исполняемого кода) прямиком в память. Этим обеспечивается его скрытность.
Непосредственно перед запуском вредонос проверяет среду выполнения, не является ли она виртуализирован, пользователю выводится мнимый экран Google Play, с помощью которого вредонос получает необходимые ему разрешения на подгрузку дополнительных компонентов.
Подгрузка и другие вредоносные действия запускаются после перерыва.
Говори, говори, приговаривай
Самым любопытным аспектом является механизм сохранения присутствия: вредонос постоянно воспроизводит один и тот же MP3-файл, содержащий пятисекундный фрагмент фразы на китайском языке, причём, расслышать его почти невозможно. Как пояснили в публикации эксперты Kaspersky, непрекращающееся воспроизведение файла через MediaPlayer предотвращает приостановку основного процесса вредоносного приложения операционной системы.
Компонент для генерации криптовалюты представляет собой модифицированный вариант XMRig (версии 6.17.0), скомпилированный под устройства на базе процессоров ARM. Майнер подключается к пулам под контролем злоумышленников посредством зашифрованных TLS-соединений и переключается на прокси-соединения, если основной адрес перестаёт отзываться.
Майнер может запускаться и прекращать деятельность в зависимости от текущего состояния устройства; как пишут исследователи, это состояние «внимательно отслеживается» на стороне злоумышленников с помощью службы Firebase Cloud Messaging, которая постоянно отправляет контрольному серверу информацию о состоянии батареи, о том, находится ли устройство на зарядке, насколько активно используется и какова его температура.
Основная идея - обеспечить оптимальное соотношение продуктивности майнера и его незаметности: чем дольше пользователь ничего не подозревает, тем больший доход получает злоумышленник.
«Как следует из публикации Kaspersky, первоначальное проникновения вредоноса на пользовательскую систему не связано с эксплуатацией каких-либо уязвимостей, речь идёт о социальной инженерии: пользователя обманом заставляют скомпрометировать безопасность собственного устройства, - отмечает Александр Зонов, эксперт по информационной безопасности компании SEQ. - Базовые правила самозащиты включают проверку источника приложения: если это не Google Play, а имитирующий его посторонний ресурс, это уже «красный флажок»; запрос избыточных разрешений - тоже повод для подозрений».
Эксперт добавил, что для распространителей вредоносного ПО довольно типично использовать популярные наименования в качестве приманок, что в данном случае и наблюдается.
Поделиться
Короткая ссылка
