Tim za globalna istraživanja i analizu kompanije Kaspersky (GReAT) otkrio je novu kampanju Android malvera u kojoj sajber-kriminalci distribuiraju trojanca BeatBanker pod maskom aplikacije Starlink za Android. Akteri pretnji prvenstveno ciljaju korisnike iz Brazila, ali stručnjaci kompanije Kaspersky ne isključuju mogućnost da se sa ovom pretnjom suoče i korisnici iz drugih zemalja. Trojanac koristi rudar kriptovalute Monero, a dodatno instalira i alat za udaljenu administraciju BTMOB (Remote Administration Tool – RAT) na zaraženim uređajima. Kako bi obezbedio postojanost na uređaju, BeatBanker koristi neuobičajen mehanizam koji uključuje gotovo nečujnu audio-datoteku koja se automatski ponavlja bez prekida.
„U početku smo uočili da se BeatBanker distribuira pod maskom aplikacije za javne usluge; instalirao je bankarski trojanac zajedno sa rudarom kriptovalute. Međutim, naše nedavne aktivnosti detekcije otkrile su novu kampanju sa drugom varijantom BeatBanker-a koja umesto bankarskog modula implementira BTMOB RAT. Napadači izgleda koriste novu `mamac strategiju` sa aplikacijom Starlink kako bi dosegli veći broj žrtava u različitim zemljama. Zbog toga je važno da korisnici ostanu oprezni i koriste napredna rešenja za zaštitu svojih pametnih telefona“, izjavio je Fabio Assolini, rukovodilac jedinica za Ameriku i Evropu u okviru Kaspersky GReAT tima.
Početni vektor infekcije
Stručnjaci kompanije Kaspersky veruju da sajber-kriminalci distribuiraju lažnu aplikaciju Starlink koja sadrži trojanca BeatBanker putem fišing stranica koje imitiraju Google Play prodavnicu. Nakon pokretanja na kompromitovanom uređaju, trojanac prikazuje korisnički interfejs koji takođe imitira Google Play. Sajber-kriminalci obmanjuju žrtve da odobre dozvole za instalaciju, čime se omogućava preuzimanje dodatnih skrivenih zlonamernih komponenti.
Modul za rudarenje kriptovalute i BTMOB RAT
Kada korisnik klikne dugme UPDATE na lažnoj stranici Google Play-a, aktivira se rudar kriptovalute Monero. BeatBanker prati procenat napunjenosti baterije, temperaturu zaraženog pametnog telefona i aktivnost korisnika, nakon čega po potrebi pokreće ili zaustavlja skriveni rudar kriptovalute.
Android trojanac takođe instalira BTMOB RAT na kompromitovani uređaj. BTMOB omogućava potpunu udaljenu kontrolu nad uređajem i prodaje se kao usluga po modelu Malware-as-a-Service (MaaS). Ovaj alat je sposoban da automatski dodeljuje dozvole aplikacijama, sakriva sistemska obaveštenja i koristi mehanizme za presretanje podataka za otključavanje ekrana, uključujući PIN kodove, obrasce za otključavanje i lozinke. Malver takođe omogućava sajber-kriminalcima pristup prednjoj i zadnjoj kameri uređaja, praćenje GPS lokacije i kontinuirano prikupljanje osetljivih podataka.
Kako bi obezbedio trajnost infekcije i otežao deinstalaciju, BeatBanker održava stalno obaveštenje u prvom planu i aktivira foreground servis sa tihom reprodukcijom audio medija. Ova taktika je osmišljena tako da spreči operativni sistem da ukloni zlonamerni proces.
Kaspersky proizvodi ovu pretnju detektuju kao HEUR:Trojan-Dropper.AndroidOS.BeatBanker i HEUR:Trojan-Dropper.AndroidOS.Banker.*.
Više informacija dostupno je na portalu Securelist.
Kako bi korisnici ostali zaštićeni od mobilnih sajber pretnji, Kaspersky preporučuje sledeće:
- Preuzimajte aplikacije samo iz zvaničnih prodavnica aplikacija, kao što su Apple App Store i Google Play. Ipak, imajte u vidu da ni preuzimanje iz zvaničnih prodavnica nije uvek potpuno bez rizika.
- Uvek proverite ocene i komentare aplikacija, koristite linkove samo sa zvaničnih sajtova i instalirajte pouzdan bezbednosni softver, kao što je Kaspersky Premium, koji može otkriti i blokirati zlonamerne aktivnosti ukoliko se aplikacija pokaže kao prevara.
- Proveravajte dozvole aplikacija koje koristite i pažljivo razmotrite pre nego što ih odobrite, naročito kada se radi o rizičnim dozvolama kao što su Accessibility Services.
- Redovno ažurirajte operativni sistem i važne aplikacije čim ažuriranja postanu dostupna, jer se mnogi bezbednosni problemi rešavaju instaliranjem novih verzija softvera.
