Эксперты «Лаборатории Касперского» обнаружили сложную кампанию по распространению банковского трояна для Android под названием BeatBanker. В отличие от типичных мобильных угроз, этот зловред комбинирует методы ПК-атак: многоступенчатое заражение, шифрование компонентов, скрытый майнинг и прямую кражу криптовалюты. Хотя текущие атаки сконцентрированы на Бразилии, методы злоумышленников явно рассчитаны на международное масштабирование. В этом материале мы подробно разбираем, как работает троян, почему его сложно обнаружить и какие данные он похищает.
Как BeatBanker проникает в смартфон: техники обхода защиты
Процесс заражения начинается с фишинговых страниц, которые практически неотличимы от официального магазина Google Play. В ходе кампании злоумышленники использовали два популярных приложения-приманки:
Этапы заражения:
Скрытый майнинг: технология «неслышимого звука»
После закрепления в системе BeatBanker загружает модуль для майнинга криптовалюты Monero (XMR). Авторы применили оригинальный трюк для обхода систем оптимизации батареи: троян постоянно воспроизводит ультратихий звук, неразличимый для человеческого уха. Android распознает такое приложение как активный медиаплеер и не останавливает его фоновую работу. Для дополнительной маскировки в строке состояния отображается уведомление: «Системное обновление, пожалуйста, не отключайте телефон».
Управление через Firebase Cloud Messaging (FCM)
Для дистанционного управления используется официальный сервис Google — Firebase Cloud Messaging. Это позволяет злоумышленникам:
Использование легитимного сервиса Google делает трафик трояна неотличимым от трафика обычных приложений.
Кража криптовалюты и шпионаж: возможности BeatBanker
Если жертва предоставляет разрешение на «Специальные возможности» (Accessibility), троян получает полный контроль над устройством. Ключевая финансовая функция — подмена адреса получателя при транзакциях USDT (Tether) в популярных криптокошельках, включая Binance и Trust Wallet. В момент перевода зловред выводит поверх легитимного интерфейса поддельный экран, и средства уходят мошенникам.
Полный список возможностей трояна:
Модуль BTMOB: расширенные возможности для новых Android
Часть жертв получает дополнительный модуль BTMOB, который ориентирован на новые версии Android (13–15). Его возможности включают:
BeatBanker демонстрирует эволюцию мобильных угроз, заимствуя технологии из мира ПК. Понимание механизмов работы трояна — первый шаг к защите. Во второй части мы подробно расскажем, как обезопасить свой смартфон и не стать жертвой этой сложной атаки.
Как BeatBanker проникает в смартфон: техники обхода защиты
Процесс заражения начинается с фишинговых страниц, которые практически неотличимы от официального магазина Google Play. В ходе кампании злоумышленники использовали два популярных приложения-приманки:
- INSS Reembolso — программа для получения государственных услуг (аналог портала «Госуслуги»).
- Starlink — официальное приложение для настройки спутникового интернета.
Этапы заражения:
- Социальная инженерия: Пользователь попадает на поддельную страницу Google Play и скачивает APK-файл.
- Дроппер: Первое приложение запускается и имитирует процесс обновления, запрашивая разрешение на установку из неизвестных источников.
- Проверка среды: Перед активацией троян проверяет, не запущен ли он на эмуляторе или в аналитической «песочнице», а также сверяет геолокацию жертвы.
- Загрузка в память: Вредоносные модули загружаются зашифрованными и могут внедряться прямо в оперативную память, минуя создание файлов на диске — это критически усложняет обнаружение традиционными антивирусными сканерами.
Скрытый майнинг: технология «неслышимого звука»
После закрепления в системе BeatBanker загружает модуль для майнинга криптовалюты Monero (XMR). Авторы применили оригинальный трюк для обхода систем оптимизации батареи: троян постоянно воспроизводит ультратихий звук, неразличимый для человеческого уха. Android распознает такое приложение как активный медиаплеер и не останавливает его фоновую работу. Для дополнительной маскировки в строке состояния отображается уведомление: «Системное обновление, пожалуйста, не отключайте телефон».
Управление через Firebase Cloud Messaging (FCM)
Для дистанционного управления используется официальный сервис Google — Firebase Cloud Messaging. Это позволяет злоумышленникам:
- Получать статус зараженного устройства.
- Включать или приостанавливать майнинг при перегреве или активном использовании смартфона.
- Рассылать команды на активацию шпионских модулей.
Использование легитимного сервиса Google делает трафик трояна неотличимым от трафика обычных приложений.
Кража криптовалюты и шпионаж: возможности BeatBanker
Если жертва предоставляет разрешение на «Специальные возможности» (Accessibility), троян получает полный контроль над устройством. Ключевая финансовая функция — подмена адреса получателя при транзакциях USDT (Tether) в популярных криптокошельках, включая Binance и Trust Wallet. В момент перевода зловред выводит поверх легитимного интерфейса поддельный экран, и средства уходят мошенникам.
Полный список возможностей трояна:
- Крипто-майнинг: Добыча Monero в фоновом режиме.
- Хищение 2FA: Перехват одноразовых кодов из Google Authenticator.
- Кейлоггинг: Запись всех нажатий клавиш на клавиатуре.
- Слежка: Запись звука с микрофона, трансляция экрана, доступ к геолокации.
- Манипуляции с SMS: Отправка и перехват сообщений.
Модуль BTMOB: расширенные возможности для новых Android
Часть жертв получает дополнительный модуль BTMOB, который ориентирован на новые версии Android (13–15). Его возможности включают:
- Автоматическое получение критических разрешений.
- Доступ к фронтальной и тыловой камерам.
- Перехват PIN-кодов и паролей блокировки экрана.
- Постоянное отслеживание перемещений пользователя.
BeatBanker демонстрирует эволюцию мобильных угроз, заимствуя технологии из мира ПК. Понимание механизмов работы трояна — первый шаг к защите. Во второй части мы подробно расскажем, как обезопасить свой смартфон и не стать жертвой этой сложной атаки.