Trojans BeatBanker e BTMOB: técnicas de infecção e como se manter seguro

Para atingir seus objetivos malignos, os desenvolvedores de malware para Android precisam enfrentar vários desafios consecutivos: enganar os usuários para que entrem em seus smartphones, evitar software de segurança, convencer as vítimas a concederem várias permissões de sistema, manter-se longe de otimizadores de bateria integrados que matam os consumidores de recursos e, depois de tudo isso, garantir que seu malware realmente gere lucro. Os criadores do BeatBanker — uma campanha de malware baseada em Android descoberta recentemente pelos nossos especialistas — criaram algo novo para cada uma dessas etapas. O ataque é (por enquanto) direcionado aos usuários brasileiros, mas as ambições dos desenvolvedores quase certamente os levarão à expansão internacional, por isso vale a pena ficar atento e estudar os truques do ator da ameaça. Você pode encontrar uma análise técnica completa do malware em Lista segura.

Como o BeatBanker se infiltra em um smartphone

O malware é distribuído por meio de páginas de phishing especialmente criadas que imitam a Google Play Store. Uma página que é facilmente confundida com o mercado oficial de aplicativos convida os usuários a baixar um aplicativo aparentemente útil. Em uma campanha, o trojan se disfarçou como o aplicativo de serviços do governo brasileiro, INSS Reembolso; em outro, ele se passou por um aplicativo Starlink.

A instalação ocorre em várias etapas para evitar a solicitação de muitas permissões de uma só vez e para acalmar ainda mais a vigilância da vítima. Depois que o primeiro aplicativo é baixado e iniciado, ele exibe uma interface que também lembra o Google Play e simula uma atualização para o aplicativo chamariz – solicitando a permissão do usuário para instalar aplicativos, o que não parece fora do comum no contexto. Se você conceder essa permissão, o malware baixará módulos maliciosos adicionais para o seu smartphone.

Após a instalação, o trojan simula uma atualização de aplicativo falso via Google Play, solicitando permissão para instalar aplicativos enquanto baixa módulos maliciosos adicionais no processo.

Todos os componentes do trojan são criptografados. Antes de descriptografar e prosseguir para os próximos estágios da infecção, ele verifica se está em um smartphone real e no país de destino. O BeatBanker encerra imediatamente seu próprio processo se encontrar alguma discrepância ou detectar que está sendo executado em ambientes emulados ou de análise. Isso complica a análise dinâmica do malware. Aliás, o falso downloader de atualizações injeta módulos diretamente na RAM para evitar a criação de arquivos no smartphone que seriam visíveis para softwares de segurança.

Todos esses truques não são novidade e são frequentemente usados ​​em malwares complexos para computadores desktop. No entanto, para smartphones, tal sofisticação ainda é uma raridade e nem todas as ferramentas de segurança a detectam. Os usuários dos produtos Kaspersky estão protegidos contra esta ameaça.

Reproduzindo áudio como escudo

Uma vez instalado no smartphone, o BeatBanker baixa um módulo para mineração da criptomoeda Monero. Os autores estavam muito preocupados com a possibilidade de os agressivos sistemas de otimização de bateria do smartphone desligarem o minerador, então eles criaram um truque: reproduzir um som quase inaudível o tempo todo. Os sistemas de controle de consumo de energia normalmente poupam aplicativos que reproduzem áudio ou vídeo para evitar o corte de música de fundo ou reprodutores de podcast. Desta forma, o malware pode ser executado continuamente. Além disso, ele exibe uma notificação persistente na barra de status, solicitando ao usuário que mantenha o telefone ligado para uma atualização do sistema.

Exemplo de notificação persistente de atualização do sistema de outro aplicativo malicioso disfarçado de aplicativo Starlink

Controle via Google

Para gerenciar o trojan, os autores utilizam o legítimo Firebase Cloud Messaging (FCM) do Google – um sistema para receber notificações e enviar dados de um smartphone. Este recurso está disponível para todos os aplicativos e é o método mais popular para enviar e receber dados. Graças ao FCM, os invasores podem monitorar o status do dispositivo e alterar suas configurações conforme necessário.

Nada de ruim acontece por um tempo após a instalação do malware: os invasores esperam. Em seguida, eles acionam o minerador, mas tomam cuidado para acelerá-lo se o telefone superaquecer, a bateria começar a descarregar ou se o proprietário estiver usando o dispositivo. Tudo isso é tratado via FCM.

Roubo e espionagem

Além do criptominerador, o BeatBanker instala módulos extras para espionar o usuário e roubá-lo no momento certo. O módulo de spyware solicita permissão dos Serviços de Acessibilidade e, caso seja concedida, começa a monitorar tudo o que está acontecendo no smartphone.

Se o proprietário abrir o aplicativo Binance ou Trust Wallet para enviar USDT, o malware sobrepõe uma tela falsa na interface da carteira, trocando efetivamente o endereço do destinatário pelo seu próprio. Todas as transferências vão para os atacantes.

O trojan possui um sistema avançado de controle remoto e é capaz de executar muitos outros comandos:

• Interceptando códigos únicos do Google Authenticator
• Gravando áudio do microfone
• Streaming da tela em tempo real
• Monitorando a área de transferência e interceptando pressionamentos de teclas
• Envio de mensagens SMS
• Simulação de toques em áreas específicas da tela e entrada de texto de acordo com um script enviado pelo invasor e muito mais

Tudo isso torna possível roubar a vítima quando ela utiliza qualquer outro serviço bancário ou de pagamento – não apenas pagamentos criptográficos.

Às vezes, as vítimas são infectadas com um módulo diferente para espionagem e controle remoto de smartphones – o trojan de acesso remoto BTMOB. Suas capacidades maliciosas são ainda mais amplas, incluindo:

• Aquisição automática de certas permissões no Android 13–15
• Rastreamento contínuo de geolocalização
• Acesso às câmeras frontal e traseira
• Obtenção de códigos PIN e senhas para desbloqueio de tela
• Capturando entrada do teclado

Como se proteger do BeatBanker

Os cibercriminosos estão constantemente refinando seus ataques e criando novas maneiras de lucrar com suas vítimas. Apesar disso, você pode se proteger seguindo alguns cuidados simples:

• Baixe aplicativos apenas de fontes oficiaiscomo o Google Play ou a app store pré-instalada pelo fornecedor. Se você encontrar um aplicativo enquanto pesquisa na internet, não o abra por meio de um link do seu navegador; em vez disso, acesse o aplicativo Google Play ou outra loja da marca em seu smartphone para procurá-lo lá. Enquanto você faz isso, verifique o número de downloads, a idade do aplicativo e observe as classificações e comentários. Evite novos aplicativos, aplicativos com classificações baixas e aqueles com um pequeno número de downloads.
• Verifique todas as permissões que você concede. Não conceda permissões se não tiver certeza do que elas fazem ou por que esse aplicativo específico as exige. Tenha muito cuidado com permissões como Instale aplicativos desconhecidosUmacessibilidade, Superusuárioe Exibir sobre outros aplicativos. Escrevemos sobre isso em detalhes em um artigo separado.
• Equipe seu dispositivo com uma solução antimalware abrangente. Naturalmente, recomendamos o Kaspersky para Android. Os usuários dos produtos Kaspersky estão protegidos do BeatBanker – detectado com os veredictos HEUR:Trojan-Dropper.AndroidOS.BeatBanker e HEUR:Trojan-Dropper.AndroidOS.Banker.*.
• Atualize regularmente o sistema operacional e o software de segurança. Para o Kaspersky para Android, que atualmente não está disponível no Google Play, consulte nossas instruções detalhadas sobre como instalar e atualizar o aplicativo.

Ameaças aos usuários do Android têm disparado ultimamente. Confira nossas outras postagens sobre os ataques mais relevantes e difundidos ao Android e dicas para manter você e seus entes queridos seguros: