Новый Android-троянец запускает аудиофайл, который остается на вашем смартфоне
19 просмотров
Мобильные вредоносные программы уже давно перестали быть чем-то примитивным, но история BeatBanker по-прежнему умеет удивлять. Исследователи «Лаборатории Касперского» описали новую угрозу для Android, которая одновременно работает и как банковский троян, и как скрытый майнер.
Причем он распространяется через фишинговые сайты, маскирующиеся под Google Play, а в последних версиях еще и с помощью методов социальной инженерии в WhatsApp (принадлежит компании Meta, признанной экстремистской и запрещенной в России).
Главной особенностью BeatBanker является весьма необычный способ оставаться на зараженном устройстве. Чтобы Android не мог завершить вредоносные процессы, троянец воспроизводит по кругу практически неслышный аудиофайл.
Именно из-за этого странного механизма исследователи дали ему такое название. При этом вредоносная программа отслеживает состояние смартфона: смотрит на заряд батареи, температуру устройства и активность пользователя, чтобы выбрать момент, когда его действия будут менее заметны.
Внешне все выглядит довольно обычно. Пользователю предоставляется поддельное приложение, имитирующее легальный сервис из Google Play или даже сам магазин приложений. После установки начинается менее приятное: BeatBanker развертывает сразу два вредоносных вектора.
С одной стороны, он незаметно майнит Monero, разряжая батарею и нагружая устройство. С другой стороны, он работает как банковский троян, который охотится за финансовыми данными и мешает переводам криптовалюты.
По мнению исследователей, банковский модуль может накладывать поддельные экраны поверх приложений Binance и Trust Wallet. А в случае перевода USDT троянец может незаметно подменить адрес получателя на адрес злоумышленника. Для жертвы это выглядит особенно неприятно: человек вроде бы сам подтверждает операцию, но деньги уже не идут туда, куда он намеревался их отправить.
При этом, судя по наблюдениям Касперского, кампания развивается. В более поздних версиях злоумышленники стали заменять банковский модуль полноценным BTMOB RAT — трояном для удаленного доступа. Это уже существенно расширяет возможности злоумышленников: речь идет не просто о краже учетных данных, а о гораздо более глубоком контроле над зараженным устройством.
