Размер шрифта:
Уменьшить - Увеличить +
Фон страницы:
Обычный Белый Черный Голубой
Межбуквенный интервал:
Обычный Средний Большой
Изображения:
Включить Выключить
Отключить версию для слабовидящих close
Проект Координационного центра доменов .RU и .РФ
ru
en
Назад
Новый зловред BeatBanker атакует Android-устройства
#вредоносное ПО
Новый зловред BeatBanker атакует Android-устройства

Исследователи «Лаборатории Касперского» выявили новое вредоносное ПО для Android-устройств. Зловред, получивший название BeatBanker, сочетает функции банковского троянца и майнера криптовалюты Monero. Он способен похищать учетные данные, а также вмешиваться в криптовалютные транзакции. Вредоносное ПО имитирует приложение Starlink и распространяется через сайты, которые выдают себя за официальный магазин Google Play Store.

APK-файл BeatBanker использует нативные библиотеки для расшифровки и загрузки скрытого кода напрямую в память, чтобы избежать обнаружения. Перед запуском он проверяет, не установлен ли в «песочнице» либо на виртуальной машине. Кроме того, зловред откладывает вредоносные действия на некоторое время после установки.

Если проверки успешно пройдены, вредоносное ПО демонстрирует поддельный экран обновления Play Store, чтобы заставить жертву дать разрешения на установку дополнительных вредоносных компонентов.

Исследователи «Лаборатории Касперского» обращают внимание на весьма необычный способ поддержания постоянной активности зловреда: он непрерывно воспроизводит неслышимую 5-секундную запись речи на китайском языке из MP3-файла output8.mp3. Компонент KeepAliveServiceMediaPlayback обеспечивает непрерывную работу, запуская постоянное воспроизведение через MediaPlayer. Он удерживает сервис активным и проигрывает небольшой аудиофайл по кругу. Эта постоянная активность не позволяет системе приостановить или завершить процесс вследствие бездействия.

BeatBanker использует модифицированную версию майнера XMRig (версия 6.17.0), чтобы генерировать криптовалюту Monero на Android-устройствах. XMRig подключается к пулам майнинга, контролируемым злоумышленниками, через зашифрованные соединения и при необходимости переключается на прокси-сервер. При этом майнер может запускаться и останавливаться в зависимости от состояния устройства. Операторы отслеживают параметры устройства, чтобы обеспечить оптимальную работу и сохранить скрытность. Зловрде постоянно отправляет на командный сервер информацию об уровне и температуре батареи, статусе зарядки и активности использования устройства. Остановка майнинга во время активного использования и ограничение нагрузки позволяют BeatBanker оставаться незамеченным максимально долго и продолжать добывать криптовалюту в подходящих для этого условиях.

В настоящее время случаи инфицирования устройств BeatBanker обнаружены только в Бразилии. Однако специалисты уверены, что атаки зловреда легко могут быть распространены на другие страны, если он докажет свою эффективность.