Эксперты Глобального центра исследования и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) обнаружили новую вредоносную кампанию, в рамках которой злоумышленники распространяли троянец BeatBanker под видом приложения Starlink для Android
Основной мишенью атакующих являются пользователи из Бразилии, однако специалисты не исключают, что с угрозой могут столкнуться жители других стран. Троянец устанавливает на заражённые устройства криптомайнер Monero, а также зловред BTMOB RAT. Для закрепления на устройстве, BeatBanker использует необычный механизм с проигрыванием в цикле почти беззвучного аудиофайла.
«Ранее BeatBanker распространялся под видом приложений в сфере социальных услуг — он устанавливал банковский троянец в дополнение к майнеру. Недавно мы обнаружили новую кампанию с другим вариантом BeatBanker, который устанавливает BTMOB RAT вместо банковского троянца. Злоумышленники используют новую приманку в виде фальшивого приложения Starlink, вероятно, чтобы охватить больше жертв из разных стран. Поэтому пользователям важно сохранять бдительность и использовать надёжные решения для защиты своих смартфонов», — комментирует Фабио Ассолини (Fabio Assolini), руководитель Kaspersky GReAT в Латинской Америке и Европе.
Начальный вектор заражения
Эксперты «Лаборатории Касперского» предполагают, что злоумышленники распространяют поддельное приложение Starlink, содержащее BeatBanker, через фишинговые страницы, имитирующие Google Play. После запуска на скомпрометированном устройстве троянец отображает страницу, которая также имитирует Google Play. Таким образом злоумышленники пытаются заставить жертв предоставить разрешения на установку, чтобы загрузить дополнительную вредоносную нагрузку.
Криптомайнер и модуль BTMOB RAT
Если пользователь нажмёт «обновить» на поддельной странице Google Play, на его устройство установится криптомайнер Monero. BeatBanker отслеживает процент заряда батареи, температуру заражённого смартфона, а также активность пользователя — и в зависимости от этого майнер может запускаться или останавливаться.
Android-троянец также устанавливает на заражённый смартфон BTMOB RAT. Он позволяет злоумышленникам получить полный удалённый контроль над устройством и распространяется по модели «вредоносное ПО как услуга» (MaaS). Инструмент способен автоматически предоставлять разрешения, скрывать системные уведомления и имеет механизмы, предназначенные для перехвата данных для разблокировки экрана, включая PIN-коды, графические ключи и пароли. Вредоносное ПО также позволяет злоумышленникам получить доступ к фронтальной и задней камерам, отслеживать местоположение жертвы по GPS и собирать другие конфиденциальные данные.
Для закрепления на устройстве BeatBanker активирует сервис с нотификацией в статус-баре, в котором в цикле проигрывается беззвучный аудиофайл — чтобы ОС не завершила вредоносный процесс.
Решения «Лаборатории Касперского» защищают от данной угрозы и детектируют её как HEUR:Trojan-Dropper.AndroidOS.BeatBanker и HEUR:Trojan-Dropper.AndroidOS.Banker.*.
Узнать подробности о вредоносной кампании можно на сайте Securelist.
Чтобы защититься от мобильных угроз, «Лаборатория Касперского» рекомендует:
- скачивайте приложения только из официальных магазинов, таких как Apple App Store и Google Play, и внимательно изучайте отзывы, чтобы снизить риски;
- используйте надёжное защитное ПО, которое способно вовремя обнаружить и заблокировать вредоносную активность, например Kaspersky Premium;
- проверяйте разрешения используемых приложений и не выдавайте их без крайней необходимости, особенно если речь идёт о разрешениях с повышенной степенью риска, таких как специальные возможности (Accessibility Services).
- устанавливайте обновления операционной системы и другого ПО сразу после их выхода, поскольку в них могут содержаться исправления, связанные с безопасностью.
