O malware BeatBanker tem como alvo usuários do Android com Trojan bancário e minerador de criptografia
11 de março de 2026
O malware BeatBanker para Android se espalha por meio de aplicativos Starlink falsos em sites que imitam a Google Play Store, sequestrando dispositivos, roubando credenciais e minerando criptografia.
Um novo malware para Android chamado BeatBanker se espalha por meio de aplicativos Starlink falsos distribuídos em sites que se passam por Google Play Store. Uma vez instalado, ele sequestra dispositivos, rouba credenciais de login, adultera transações de criptomoedas e minera secretamente o Monero, combinando recursos de trojans bancários com mineração de criptomoedas.
A campanha tem como alvo principal usuários no Brasil, espalhando-se por meio de páginas de phishing e, às vezes, via WhatsApp, permitindo que os invasores mantenham vigilância de longo prazo e controle remoto dos telefones comprometidos.
Nos ataques mais recentes, os operadores substituíram o componente bancário por um RAT e mantiveram a persistência enquanto se comunicavam com os pools de mineração.
A campanha começa com um site de phishing que imita a Google Play Store e distribui um aplicativo falso “INSS Reembolso”.
O malware se faz passar pelo serviço oficial do Instituto Nacional do Seguro Social, enganando os usuários para que instalem um APK trojanizado disfarçado de aplicativo governamental confiável.
“Em vários estágios do ataque, o BeatBanker se disfarça como um aplicativo legítimo na Google Play Store e como a própria Play Store.” afirma o relatório publicado pela Kaspersky.
O APK compactado usa uma biblioteca nativa para descriptografar e carregar malware oculto diretamente na memória, ajudando-o a evitar a detecção de antivírus móveis. Também verifica detalhes do dispositivo e bloqueia a execução em ambientes de análise. O aplicativo então mostra uma página de atualização falsa semelhante à Google Play Store para induzir as vítimas a instalar cargas maliciosas adicionais e manter a persistência.
Depois que as vítimas tocam em Atualizar em uma tela falsa da Google Play Store, o malware baixa um criptominerador baseado em XMRig e se conecta a pools de mineração controlados pelo invasor. Ele usa Firebase Cloud Messaging como canal de comando e controle. Cada mensagem aciona verificações do nível da bateria, temperatura, data de instalação e atividade do usuário, permitindo que invasores iniciem ou parem o criptominerador oculto e mantenham os dispositivos infectados respondendo a comandos remotos enquanto monitoram as principais condições do dispositivo.
O BeatBanker mantém a persistência executando um serviço em primeiro plano que reproduz um loop de áudio silencioso para evitar o desligamento. Ele também instala um trojan bancário que abusa das permissões de acessibilidade para controlar o dispositivo, monitorar navegadores e direcionar aplicativos de criptografia como Binance e Trust Wallet.
“O BeatBanker compromete a máquina com um minerador de criptomoedas e introduz outro APK malicioso que atua como um Trojan bancário. Este Trojan usa permissão obtida anteriormente para instalar um APK adicional chamado INSS Reebolso, que está associado ao pacote com.destination.cosmetics.” continua o relatório.
Quando os usuários tentam fazer transferências Tether, o malware se sobrepõe a telas falsas e substitui silenciosamente o endereço da carteira de destino por um controlado pelos invasores.
A Kaspersky detectou novas amostras do BeatBanker se espalhando por meio de um aplicativo Starlink falso. O malware mantém truques de persistência anteriores, como áudio em loop e notificações fixas, e ainda implanta um minerador de criptografia. Em vez de um trojan bancário, no entanto, agora instala o BTMOB RAT, uma ferramenta de acesso remoto altamente ofuscada.
O BTMOB, vinculado a famílias de malware como CraxsRAT e CypherRAT, opera como Malware como serviço e fornece controle total sobre os dispositivos infectados. Ele pode conceder permissões automaticamente, executar persistentemente em segundo plano, ocultar notificações, capturar credenciais de bloqueio de tela, registrar pressionamentos de teclas, rastrear localização GPS e acessar câmeras.
“O BeatBanker é um excelente exemplo de como as ameaças móveis estão se tornando mais sofisticadas e multicamadas. Inicialmente focado no Brasil, este Trojan opera uma campanha dupla, agindo como um minerador de criptomoeda Monero, drenando discretamente a vida útil da bateria do seu dispositivo, ao mesmo tempo que rouba credenciais bancárias e adultera transações de criptomoedas.” conclui o relatório que inclui Indicadores de Compromisso (IoCs). “Além disso, a versão mais recente vai ainda mais longe, substituindo o módulo bancário por um BTMOB RAT completo.”
Siga-me no Twitter: @securityaffairs e Facebook e Mastodonte
(Assuntos de Segurança – hackers, malware BeatBanker para Android)
Deseja saber mais sobre Segurança Clique Aqui!
Android,BeatBanker Android malware,criptominerador,Cibercrime,Hacking,notícias sobre hackers,notícias sobre segurança da informação,Segurança da informação de TI,malware,Pierluigi Paganini,Assuntos de segurança,Notícias sobre segurança