Un nouveau cheval de Troie, baptisé BeatBanker, cible les utilisateurs de Starlink. Pour piéger les abonnés, le virus se fait passer pour l’application officielle sur de faux sites imitant le Play Store.
Les chercheurs de Kaspersky ont découvert l’existence d’un nouveau malware programmé pour pirater les smartphones Android, BeatBanker. Les experts ont remarqué ce cheval de Troie lors de cyberattaques au Brésil. Caché dans de fausses applications, le virus était taillé pour voler des cryptomonnaies. Dans la foulée, le malware minait des cryptomonnaies, en l’occurrence du Monero (XMR), sur le smartphone de ses victimes.
Cette double stratégie permet à la fois de détourner des fonds et de rentabiliser la puissance du smartphone infecté. Le malware utilisait déjà des techniques avancées pour arriver à ses fins, souligne Kaspersky dans son rapport.
Les abonnés Starlink dans le viseur
Peu après sa première apparition, BeatBanker a fait un retour en force dans le cadre d’une nouvelle campagne. Cette offensive repose cette fois sur une fausse application Android Starlink. L’application malveillante est diffusée sur une panoplie de sites frauduleux qui imitent l’interface officielle du Google Play Store. La cyberattaque cherche évidemment à piéger les utilisateurs d’un kit Starlink, l’Internet par satellite d’Elon Musk.
Les victimes débarquent sur ces copies du Play Store en cliquant sur des messages de phishing, reçus par SMS, par mails, ou par le biais de messageries ou de réseaux sociaux. Une fois sur le faux Play Store, elles téléchargent un fichier APK frauduleux, qui contient le code de BeatBanker, en étant persuadées d’installer l’application officielle de Starlink. Une fois l’APK téléchargé et lancé, l’application affiche encore une interface qui imite le Play Store, afin de réclamer des permissions supplémentaires.
Après l’installation, le malware attend un moment avant d’activer ses fonctions malveillantes pour ne pas éveiller les soupçons de sa victime. Le malware va dissimuler l’icône de l’application, ce qui évite de le désinstaller. En parallèle, le virus va ensuite tout mettre en œuvre pour tourner en continu et éviter la désinstallation. Il va d’abord lire un fichier audio de 5 secondes quasi inaudible, ce qui oblige Android à garder l’app active en arrière‑plan.
« Il maintient un service multimédia au premier plan grâce à une notification permanente et fait tourner en boucle un petit fichier audio presque inaudible. Cette activité continue empêche Android de considérer le processus comme inactif et donc de le mettre en pause ou de le fermer automatiquement », explique Kaspersky.
À lire aussi : Fuite sur le Play Store – une app Android a exposé 2 millions de photos et de vidéos par erreur
Comment le virus intercepte vos transactions crypto
Enfin, le virus va télécharger et activer des charges supplémentaires, à commencer par un module de minage de cryptomonnaie. En minant des cryptos, BeatBanker va ralentir le smartphone et réduire l’autonomie de la batterie. Surtout, il va surveiller toutes les applications que vous ouvrez sur le téléphone. Si vous ouvrez Binance ou Trust Wallet, le virus va se pencher sur vos transactions. Si vous transférez certaines cryptos, comme de l’USDT, le malware va intercepter les paiements. Le virus va lire les informations de la transaction et remplacer l’adresse de destination. Sans surprise, il va indiquer l’adresse blockchain des pirates. Pour éviter que vous vous rendiez compte de la manœuvre, le virus affiche un faux écran en superposition, qui contient bien les données que vous aviez encodées. Vous avez donc l’impression de valider le bon transfert, mais vous envoyez de l’argent dans les poches des cybercriminels.
Comme toujours, on vous recommande chaudement de ne pas télécharger d’applications par le biais de liens reçus par messages. Même si vous êtes persuadé que vous vous trouvez sur le Play Store, méfiez-vous. Avant de passer à l’acte, ouvrez l’application Play Store, déjà installée sur votre téléphone, et recherchez l’application à partir de là. Vous trouverez alors l’application officielle de Starlink. Considérez aussi avec prudence toutes les applications qui vous demandent énormément de permissions. Comme l’explique Kaspersky, « refuser l’installation ou les permissions est souvent le réflexe qui évite l’infection ».
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
Kaspersky