Découvert par Kaspersky, le malware BeatBanker pour Android cible des utilisateurs brésiliens via de fausses applications, dont une imitation de l’application Starlink. Cette menace combine un cheval de Troie bancaire avec un mineur de cryptomonnaies et des capacités d’espionnage.
Comment BeatBanker parvient-il à infiltrer des smartphones ?
Le piège prend forme sur des pages de phishing qui répliquent l’interface du Google Play Store. Les victimes sont incitées à télécharger ce qui semble être une application légitime.
Pour déjouer la vigilance, l’installation se fait en plusieurs étapes. La fausse application simule une mise à jour et demande l’autorisation d’installer des paquets inconnus, ce qui lui permet de télécharger ses modules malveillants directement en mémoire.
Les composants du cheval de Troie sont chiffrés et effectuent des vérifications pour s’assurer qu’ils ne s’exécutent pas dans un environnement d’analyse. Les attaquants ont également recours au service Firebase Cloud Messaging (FCM) de Google.
Une technique de persistance originale
Pour éviter que les systèmes d’optimisation de la batterie d’Android ne terminent un processus de minage de Monero, le malware joue en continu un fichier audio de cinq secondes quasi inaudible.
Kaspersky explique que les systèmes d’exploitation ont tendance à ne pas interrompre les applications qui diffusent de l’audio, ce qui assure au malware un fonctionnement permanent et lui vaut ainsi son nom de BeatBanker.
Pour rester discret, le malware attend un certain temps après l’installation avant de démarrer ses activités. En outre, il surveille l’état de l’appareil via FCM et met en pause le minage si l’appareil surchauffe, si la batterie est faible ou si l’utilisateur est actif.
Un puissant RAT dans les parages
Au-delà du minage de cryptomonnaies, BeatBanker déploie des modules d’espionnage. En obtenant les autorisations d’accessibilité, il peut surveiller toute l’activité à l’écran.
Il est capable de superposer de fausses fenêtres sur des applications comme Binance ou Trust Wallet pour intercepter des transactions de cryptomonnaies et détourner les fonds vers les portefeuilles des attaquants.
Dans sa version la plus récente, BeatBanker installe le cheval de Troie d’accès à distance BTMOB pour un contrôle quasi total de l’appareil.