Oszustwo "na Starlinka". Zmieniają telefony w koparki kryptowalut

Oszustwa z fałszywymi wersjami aplikacji zdarzają się często, ale rzadko dotyczą produktów dla technologicznych entuzjastów. Zagrożenie BeatBanker szkodzi tym, którzy nieuważnie instalują Starlink na Androidzie.

Oszustwo na Starlinka na smartfonach
Oszustwo na Starlinka na smartfonach
Źródło zdjęć: © GETTY | Cheng Xin

Nowe zagrożenie na Androida o nazwie BeatBanker rozprzestrzenia się przez strony udające oficjalny sklep Google Play. Użytkownikom podsuwa się aplikację wyglądającą jak Starlink, ale z nazwą "Star Link". W tle instalowany jest złośliwy kod DEX bezpośednio na pamięć.

Badacze Kaspersky wykryli kampanie skierowane do osób w Brazylii. Malware potrafi m.in. kraść dane logowania i manipulować transakcjami kryptowalut, jak i uczynić ze smartfonu koparkę waluty Monero.

Apple odświeża MacBooki Air i Pro. Zmiany nie dotyczą wyglądu

Fałszywy Starlink potrafi zasiać spustoszenie w telefonie

BeatBanker jest dystrybuowany jako pakiet APK i używa natywnych bibliotek Androida do odszyfrowania oraz uruchomienia ukrytego kodu DEX bezpośrednio w pamięci, co ma utrudniać wykrycie. Przed startem sprawdza środowisko, by upewnić się, czy nie jest analizowany. Gdy przejdzie kontrolę, pokazuje fałszywy ekran aktualizacji Sklepu Play i wyłudza zgody na instalowanie kolejnych elementów.

Strona podszywająca się pod sklep Google Play
Strona podszywająca się pod sklep Google Play© Kaspersky

Po instalacji złośliwa aktywność nie uruchamia się od razu. Według opisu Kaspersky BeatBanker celowo zwleka z działaniem, aby nie wzbudzać podejrzeń. Nietypowy jest też mechanizm utrzymania się w systemie: malware ma stale odtwarzać prawie niesłyszalne nagranie, by proces pozostał aktywny. "Komponent KeepAliveServiceMediaPlayback zapewnia ciągłe działanie, inicjując nieprzerwane odtwarzanie przez MediaPlayer" - wyjaśnia Kaspersky w opublikowanym raporcie.

Kaspersky wskazuje, że najnowsza wersja BeatBanker zamiast modułu bankowego wdraża trojana zdalnego dostępu BTMOB RAT. To oznacza szeroką kontrolę nad telefonem, w tym:

  • możliwość pełnego sterowania urządzeniem,
  • keylogging i przechwytywanie poświadczeń,
  • nagrywanie ekranu, dostęp do kamery,
  • śledzenie GPS.
Proces wydobycia kryptowaluty Monero na zainfekowanym telefonie
Proces wydobycia kryptowaluty Monero na zainfekowanym telefonie© Kaspersky

Malware wykorzystuje też zmodyfikowaną wersję koparki XMRig 6.17.0 dla urządzeń ARM do kopania kryptowaluty Monero. Łączy się z pulami wydobycia kontrolowanymi przez atakujących z użyciem szyfrowanych połączeń TLS, a w razie problemów z przejściem pod adres przechodzi na proxy.

Z użyciem Firebase Cloud Messaging wysyła do serwera m.in. dane o baterii i temperaturze, by włączać lub wyłączać kopanie wtedy, gdy na przykład urządzenie mogłoby stać się zbyt gorące, co ułatwia ukrycie rozwiązania. Oprócz tego takie działanie pozwala utrzymać pakiet rozwiązań stale aktywnym.

Michał Mielnik, dziennikarz Wirtualnej Polski

Misja AI
Misja AI© Cyfrowi Bezpieczni

Programy

Zobacz więcej
malwareandroidkoparka kryptowalut

Wybrane dla Ciebie

Komentarze (5)