Przejdź na

Oszustwo "na Starlinka". Zmieniają telefony w koparki kryptowalut

Oszustwa z fałszywymi wersjami aplikacji zdarzają się często, ale rzadko dotyczą produktów dla technologicznych entuzjastów. Zagrożenie BeatBanker szkodzi tym, którzy nieuważnie instalują Starlink na Androidzie.

CHONGQING, CHINA - FEBRUARY 3: In this photo illustration, a person holds a smartphone displaying the Starlink logo, with the SpaceX brand visible in the background, on February 3, 2026, in Chongqing, China. The image follows reports that Elon Musk's aerospace company SpaceX is combining with his artificial intelligence venture xAI, a deal that would place xAI's assets, including the social media platform X, under SpaceX as Musk moves to consolidate his technology businesses and expand SpaceX's presence across communications, data and digital platforms. (Photo illustration by Cheng Xin/Getty Images)Oszustwo na Starlinka na smartfonach
Źródło zdjęć: © GETTY | Cheng Xin
Michał Mielnik
oprac.  Michał Mielnik

Nowe zagrożenie na Androida o nazwie BeatBanker rozprzestrzenia się przez strony udające oficjalny sklep Google Play. Użytkownikom podsuwa się aplikację wyglądającą jak Starlink, ale z nazwą "Star Link". W tle instalowany jest złośliwy kod DEX bezpośednio na pamięć.

Badacze Kaspersky wykryli kampanie skierowane do osób w Brazylii. Malware potrafi m.in. kraść dane logowania i manipulować transakcjami kryptowalut, jak i uczynić ze smartfonu koparkę waluty Monero.

Apple odświeża MacBooki Air i Pro. Zmiany nie dotyczą wyglądu

Fałszywy Starlink potrafi zasiać spustoszenie w telefonie

BeatBanker jest dystrybuowany jako pakiet APK i używa natywnych bibliotek Androida do odszyfrowania oraz uruchomienia ukrytego kodu DEX bezpośrednio w pamięci, co ma utrudniać wykrycie. Przed startem sprawdza środowisko, by upewnić się, czy nie jest analizowany. Gdy przejdzie kontrolę, pokazuje fałszywy ekran aktualizacji Sklepu Play i wyłudza zgody na instalowanie kolejnych elementów.

Strona podszywająca się pod sklep Google Play
Strona podszywająca się pod sklep Google Play © Kaspersky

Po instalacji złośliwa aktywność nie uruchamia się od razu. Według opisu Kaspersky BeatBanker celowo zwleka z działaniem, aby nie wzbudzać podejrzeń. Nietypowy jest też mechanizm utrzymania się w systemie: malware ma stale odtwarzać prawie niesłyszalne nagranie, by proces pozostał aktywny. "Komponent KeepAliveServiceMediaPlayback zapewnia ciągłe działanie, inicjując nieprzerwane odtwarzanie przez MediaPlayer" - wyjaśnia Kaspersky w opublikowanym raporcie.

Nowość w aplikacji mObywatel. Sprawdź paszport
Nowość w aplikacji mObywatel. Sprawdź paszport

Kaspersky wskazuje, że najnowsza wersja BeatBanker zamiast modułu bankowego wdraża trojana zdalnego dostępu BTMOB RAT. To oznacza szeroką kontrolę nad telefonem, w tym:

  • możliwość pełnego sterowania urządzeniem,
  • keylogging i przechwytywanie poświadczeń,
  • nagrywanie ekranu, dostęp do kamery,
  • śledzenie GPS.
Proces wydobycia kryptowaluty Monero na zainfekowanym telefonie
Proces wydobycia kryptowaluty Monero na zainfekowanym telefonie © Kaspersky

Malware wykorzystuje też zmodyfikowaną wersję koparki XMRig 6.17.0 dla urządzeń ARM do kopania kryptowaluty Monero. Łączy się z pulami wydobycia kontrolowanymi przez atakujących z użyciem szyfrowanych połączeń TLS, a w razie problemów z przejściem pod adres przechodzi na proxy.

Atak hakerów na szpital w Szczecinie. Polska szczególnie zagrożona
Atak hakerów na szpital w Szczecinie. Polska szczególnie zagrożona

Z użyciem Firebase Cloud Messaging wysyła do serwera m.in. dane o baterii i temperaturze, by włączać lub wyłączać kopanie wtedy, gdy na przykład urządzenie mogłoby stać się zbyt gorące, co ułatwia ukrycie rozwiązania. Oprócz tego takie działanie pozwala utrzymać pakiet rozwiązań stale aktywnym.

Michał Mielnik, dziennikarz Wirtualnej Polski

Misja AI
Misja AI © Cyfrowi Bezpieczni
Wybrane dla Ciebie
ZondaCrypto. Policja ostrzega przed kolejnym oszustwem
ZondaCrypto. Policja ostrzega przed kolejnym oszustwem
NASK: prorosyjskie grupy przejmują kamery z Polski
NASK: prorosyjskie grupy przejmują kamery z Polski
EQ w czasach AI, czyli jak dbać o dzieci w cyfrowym labiryncie
EQ w czasach AI, czyli jak dbać o dzieci w cyfrowym labiryncie
Problemy po aktualizacji Windows 11. Co powoduje KB5083769?
Problemy po aktualizacji Windows 11. Co powoduje KB5083769?
mBank ostrzega przed majówką. Podał terminy przelewów
mBank ostrzega przed majówką. Podał terminy przelewów
Ważne zmiany na Facebooku. Dotyczą prywatności
Ważne zmiany na Facebooku. Dotyczą prywatności
Santander wydał komunikat. "Wracamy jako Erste Bank Polska"
Santander wydał komunikat. "Wracamy jako Erste Bank Polska"
Khaby Lame i awatar AI. Miał być wielki deal, jest rozczarowanie
Khaby Lame i awatar AI. Miał być wielki deal, jest rozczarowanie
Bruksela wykłada 63 mln euro na "cyfrową rewolucję". Kto zyska?
Bruksela wykłada 63 mln euro na "cyfrową rewolucję". Kto zyska?
Zmiany w Windows 11. Ważna deklaracja Microsoftu
Zmiany w Windows 11. Ważna deklaracja Microsoftu
Awaryjna aktualizacja .NET - odpowiedź na groźną lukę
Awaryjna aktualizacja .NET - odpowiedź na groźną lukę
Nowość w mObywatelu. Pobierz aktualizację
Nowość w mObywatelu. Pobierz aktualizację
NIE WYCHODŹ JESZCZE! MAMY COŚ SPECJALNIE DLA CIEBIE 🎯