Охота на Android: новый троян BeatBanker маскируется под Starlink и госуслуги — разбор атаки
2026-03-10 10:24
Эксперты «Лаборатории Касперского» обнаружили сложную кампанию по распространению банковского трояна для Android под названием BeatBanker. В отличие от типичных мобильных угроз, этот зловред комбинирует методы ПК-атак: многоступенчатое заражение, шифрование компонентов, скрытый майнинг и прямую кражу криптовалюты. Хотя текущие атаки сконцентрированы на Бразилии, методы злоумышленников явно рассчитаны на международное масштабирование. В этом материале мы подробно разбираем, как работает троян, почему его сложно обнаружить и какие данные он похищает.
Как BeatBanker проникает в смартфон: техники обхода защиты
Процесс заражения начинается с фишинговых страниц, которые практически неотличимы от официального магазина Google Play. В ходе кампании злоумышленники использовали два популярных приложения-приманки:
INSS Reembolso — программа для получения государственных услуг (аналог портала «Госуслуги»).
Starlink — официальное приложение для настройки спутникового интернета.
Этапы заражения:
Социальная инженерия: Пользователь попадает на поддельную страницу Google Play и скачивает APK-файл.
Дроппер: Первое приложение запускается и имитирует процесс обновления, запрашивая разрешение на установку из неизвестных источников.
Проверка среды: Перед активацией троян проверяет, не запущен ли он на эмуляторе или в аналитической «песочнице», а также сверяет геолокацию жертвы.
Загрузка в память: Вредоносные модули загружаются зашифрованными и могут внедряться прямо в оперативную память, минуя создание файлов на диске — это критически усложняет обнаружение традиционными антивирусными сканерами.
Скрытый майнинг: технология «неслышимого звука»
После закрепления в системе BeatBanker загружает модуль для майнинга криптовалюты Monero (XMR). Авторы применили оригинальный трюк для обхода систем оптимизации батареи: троян постоянно воспроизводит ультратихий звук, неразличимый для человеческого уха. Android распознает такое приложение как активный медиаплеер и не останавливает его фоновую работу. Для дополнительной маскировки в строке состояния отображается уведомление: «Системное обновление, пожалуйста, не отключайте телефон».
Управление через Firebase Cloud Messaging (FCM)
Для дистанционного управления используется официальный сервис Google — Firebase Cloud Messaging. Это позволяет злоумышленникам:
Получать статус зараженного устройства.
Включать или приостанавливать майнинг при перегреве или активном использовании смартфона.
Рассылать команды на активацию шпионских модулей.
Использование легитимного сервиса Google делает трафик трояна неотличимым от трафика обычных приложений.
Кража криптовалюты и шпионаж: возможности BeatBanker
Если жертва предоставляет разрешение на «Специальные возможности» (Accessibility), троян получает полный контроль над устройством. Ключевая финансовая функция — подмена адреса получателя при транзакциях USDT (Tether) в популярных криптокошельках, включая Binance и Trust Wallet. В момент перевода зловред выводит поверх легитимного интерфейса поддельный экран, и средства уходят мошенникам.
Полный список возможностей трояна:
Крипто-майнинг: Добыча Monero в фоновом режиме.
Хищение 2FA: Перехват одноразовых кодов из Google Authenticator.
Кейлоггинг: Запись всех нажатий клавиш на клавиатуре.
Слежка: Запись звука с микрофона, трансляция экрана, доступ к геолокации.
Манипуляции с SMS: Отправка и перехват сообщений.
Модуль BTMOB: расширенные возможности для новых Android
Часть жертв получает дополнительный модуль BTMOB, который ориентирован на новые версии Android (13–15). Его возможности включают:
Автоматическое получение критических разрешений.
Доступ к фронтальной и тыловой камерам.
Перехват PIN-кодов и паролей блокировки экрана.
Постоянное отслеживание перемещений пользователя.
BeatBanker демонстрирует эволюцию мобильных угроз, заимствуя технологии из мира ПК. Понимание механизмов работы трояна — первый шаг к защите. Во второй части мы подробно расскажем, как обезопасить свой смартфон и не стать жертвой этой сложной атаки.