Эксперты проанализировали сложную атаку банковского трояна BeatBanker. Этот зловред не только ворует данные и криптовалюту, но и добывает ее с помощью майнинга, используя при этом хитроумные методы, чтобы остаться незамеченным на устройстве
Создатели Android-вирусов всегда сталкиваются с рядом задач: заставить пользователя установить вредоносную программу, избежать обнаружения антивирусами, выманить у жертвы необходимые разрешения, пережить попытки системы сэкономить заряд батареи и только после этого начать приносить прибыль. Авторы недавно обнаруженной кампании BeatBanker применили на каждом этапе свои оригинальные решения. Пока атака направлена на Бразилию, но ничто не мешает злоумышленникам расширить ее на другие страны, поэтому важно знать их методы.
Способы проникновения в устройство
Вирус распространяется через поддельные сайты, копирующие дизайн Google Play. Пользователь скачивает, казалось бы, полезную программу — в одном случае это была имитация приложения бразильских госуслуг INSS Reembolso, в другом — фейковый клиент Starlink. Установка проходит поэтапно, чтобы не пугать жертву обилием запросов. После запуска первая программа показывает интерфейс, похожий на магазин приложений, и предлагает «обновить» ту самую программу-приманку. Для этого она просит разрешение на установку сторонних приложений — действие, которое выглядит логичным для обновления. Если пользователь соглашается, на смартфон загружаются дополнительные вредоносные компоненты.
Все части трояна хранятся в зашифрованном виде. Прежде чем приступить к расшифровке, BeatBanker проверяет, находится ли он на реальном устройстве и в целевой стране. При обнаружении эмулятора или аналитической среды он прекращает работу, что сильно затрудняет его изучение. К тому же фальшивый «установщик обновлений» загружает модули напрямую в оперативную память, не создавая файлов, которые мог бы обнаружить антивирус. Хотя подобные уловки давно известны в мире ПК, для мобильных устройств они пока редки, и не все средства защиты способны их распознать.
Нестандартный подход к маскировке
Обосновавшись в системе, BeatBanker загружает майнер криптовалюты Monero. Чтобы система энергосбережения не остановила его работу, авторы применили хитрость: троян начинает проигрывать едва уловимый звуковой сигнал. Оптимизаторы расхода батареи обычно не прерывают работу приложений, которые воспроизводят звук или видео (например, плееры или подкасты), что позволяет вредоносу функционировать непрерывно. Для дополнительной маскировки в строке уведомлений выводится сообщение: «Идет системное обновление, не отключайте телефон».
Управление через сервисы Google
Для связи с устройством злоумышленники используют Firebase Cloud Messaging (FCM) — легитимный сервис уведомлений. Это позволяет им удаленно следить за состоянием смартфона и менять его настройки. После установки вирус может какое-то время бездействовать, а затем активировать майнинг, который приостанавливается в случае перегрева, разряда батареи или активного использования устройства владельцем.
Хищение средств и слежка
Помимо майнера, BeatBanker добавляет на устройство шпионские модули. Один из них запрашивает доступ к «Специальным возможностям» (Accessibility) и, получив его, начинает следить за всем, что происходит на экране. Если жертва открывает Binance или Trust Wallet для перевода USDT, троян подменяет интерфейс кошелька поддельным экраном и меняет адрес получателя на тот, что принадлежит атакующим. Все средства уходят мошенникам.
Вирус обладает широкими возможностями удаленного управления:
- перехватывает одноразовые коды из Google Authenticator;
- ведет запись звука с микрофона;
- транслирует изображение экрана в реальном времени;
- отслеживает буфер обмена и нажатия клавиш;
- рассылает SMS;
- имитирует нажатия и ввод текста по сценариям злоумышленников.
Это позволяет атаковать пользователей не только криптокошельков, но и любых других банковских и платежных сервисов. В некоторых случаях вместо одного шпионского модуля жертве устанавливают другой — BTMOB, который предоставляет еще более широкий контроль.
Рекомендации по защите
Злоумышленники постоянно усложняют свои схемы, но соблюдение простых правил поможет обезопасить себя:
- Устанавливайте софт только из официальных магазинов (Google Play или магазина производителя). Найдя приложение в браузере, не переходите по ссылке, а найдите его через поиск в фирменном магазине. Обращайте внимание на дату выхода, количество скачиваний, рейтинг и отзывы. Насторожитесь, если у приложения мало загрузок и низкая оценка.
- Контролируйте разрешения. Отказывайте приложениям в доступе к функциям, которые не связаны с их основной работой. Особенно осторожно относитесь к разрешениям на установку других программ, «специальные возможности», права администратора устройства и вывод поверх других окон.
- Используйте надежный антивирус.
- Обновляйте систему и защитное