BeatBanker Banking Trojan

Von Mezo in Mobile Malware, Banking-Trojaner

Übersetzen Sie in:

BeatBanker ist eine hochentwickelte Android-Malware, die über gefälschte Webseiten verbreitet wird, die den Google Play Store imitieren. Die Schadsoftware verleitet Nutzer dazu, Anwendungen herunterzuladen, die legitim erscheinen, aber tatsächlich einen leistungsstarken Banking-Trojaner mit Funktionen zum Schürfen von Kryptowährungen enthalten. Nach der Installation kann die Malware das infizierte Gerät übernehmen, Benutzeroberflächen manipulieren und unautorisierte Finanztransaktionen durchführen. Eine sofortige Entfernung ist unerlässlich, sobald die Bedrohung erkannt wird, da ein fortgesetzter Betrieb zu finanziellen Verlusten, Datenschutzverletzungen und einer langfristigen Gefährdung des Geräts führen kann.

Inhaltsverzeichnis

Dateilose Ausführung und Anti-Analyse-Techniken

Nach der Ausführung sammelt BeatBanker zunächst wichtige Netzwerkinformationen, darunter die IP-Adresse des Geräts, den Gerätetyp, den VPN-Nutzungsstatus und weitere Verbindungsdetails. Anstatt die Schadsoftware als Dateien auf dem Gerätespeicher abzulegen, lädt sie ihren Code direkt in den Arbeitsspeicher. Diese dateilose Ausführungsmethode verringert die Wahrscheinlichkeit einer Erkennung durch herkömmliche mobile Sicherheitstools erheblich.

Um einer Analyse weiter zu entgehen, prüft BeatBanker, ob es in einer Test- oder Forschungsumgebung wie einem Emulator oder einer Sandbox ausgeführt wird. Wird eine solche Umgebung erkannt, beendet die Malware ihren Betrieb sofort. Dieser Schutzmechanismus verhindert, dass Cybersicherheitsforscher und automatisierte Systeme ihr Verhalten analysieren können.

Social Engineering über gefälschte Google Play Store-Seiten

Nach erfolgreicher Überprüfung der Systemumgebung zeigt BeatBanker eine gefälschte Benutzeroberfläche an, die der Google Play Store-Seite für eine Anwendung namens „INSS Reembolso“ täuschend ähnlich sieht und fälschlicherweise behauptet, ein Software-Update sei erforderlich. Wählt der Nutzer die Option „Aktualisieren“, fordert die Schadsoftware die Berechtigung zur Installation von Anwendungen an und lädt versteckte, schädliche Komponenten herunter.

Anstatt die legitime Google Play-Infrastruktur zu nutzen, installiert die Schadsoftware diese Komponenten direkt, indem sie erhöhte Installationsberechtigungen missbraucht. Um sich dauerhaft im System einzunisten, generiert die Schadsoftware eine gefälschte Systemaktualisierungsbenachrichtigung und führt einen Vordergrunddienst aus, der unbemerkt Medien abspielt und so verhindert, dass das Betriebssystem den schädlichen Prozess beendet.

Kryptowährungs-Mining auf Geräten von Opfern

Eine der versteckten Schadsoftware-Komponenten von BeatBanker ist ein in einer heruntergeladenen Datei eingebetteter Kryptowährungs-Miner. Diese Komponente ist eine modifizierte Version von XMRig, die die CPU-Ressourcen des infizierten Geräts ausnutzt, um im Auftrag der Angreifer Kryptowährung zu schürfen.

Die Schadsoftware steuert ihre Mining-Aktivitäten intelligent, indem sie Systemparameter wie Akkustand, Gerätetemperatur und Benutzeraktivität überwacht. Basierend auf diesen Bedingungen kann der Miner seinen Betrieb automatisch starten oder pausieren, um keinen Verdacht zu erregen und die Infektion hinauszuzögern.

Mechanismen für Banktrojaner und Kryptowährungsdiebstahl

Neben der Kryptomining-Funktion setzt BeatBanker einen Banking-Trojaner ein, der versucht, Zugriffsrechte zu erlangen. Durch die Erteilung dieser Berechtigungen können Angreifer die Benutzeroberfläche des Geräts kontrollieren und Benutzerinteraktionen überwachen.

Die Schadsoftware verfolgt aktiv, welche Anwendungen geöffnet werden, und zielt gezielt auf Kryptowährungsplattformen wie Binance und Trust Wallet ab, insbesondere auf USDT-Transaktionen. Sobald ein Opfer eine Überweisung initiiert, blendet BeatBanker eine gefälschte Benutzeroberfläche über die legitime Transaktionsoberfläche ein. Dabei ersetzt die Schadsoftware unbemerkt die vorgesehene Empfängeradresse durch eine von den Angreifern kontrollierte Adresse, wodurch die Gelder ohne Wissen des Opfers umgeleitet werden.

Das Banking-Modul prüft zudem das Vorhandensein mehrerer gängiger mobiler Browser und sammelt Browserinformationen. Es kann gespeicherte Links im Standardbrowser manipulieren, indem es Einträge hinzufügt, bearbeitet, löscht oder auflistet, und es kann vom Angreifer bereitgestellte URLs öffnen.

Führungs- und Kontrollfähigkeiten und Gerätemanipulation

BeatBanker kommuniziert mit einem Command-and-Control-Server (C2-Server), wodurch Angreifer infizierte Geräte fernsteuern und Befehle ausführen können. Über diese Infrastruktur kann die Schadsoftware eine Vielzahl schädlicher Aktionen ausführen, darunter das Anzeigen gefälschter Systemaktualisierungen, das Sperren des Gerätebildschirms, das Auslesen von Zwischenablageinhalten und das Übertragen von Audioaufnahmen an die Angreifer.

Zu den weiteren Funktionen gehören das Versenden von SMS, das Öffnen von vom Angreifer kontrollierten Links in Browsern, das Aktualisieren gespeicherter Anmeldeinformationen und das Auflisten von auf dem Gerät gespeicherten Dateien. Die Schadsoftware kann außerdem destruktive Aktionen durchführen, wie z. B. das Löschen von Dateien, das Zurücksetzen auf Werkseinstellungen oder die Selbstdeinstallation, um nach Abschluss einer Operation alle Spuren zu beseitigen.

Überwachungs- und Datenexfiltrationsfunktionen

Neben Finanzdiebstahl dient BeatBanker auch als umfassendes Überwachungswerkzeug. Es kann Tastatureingaben aufzeichnen, Bildschirmtexte extrahieren, Screenshots erstellen und den Bildschirm des Geräts in Echtzeit streamen. Die kontinuierliche Überwachung laufender Anwendungen ermöglicht es Angreifern, das Nutzerverhalten zu beobachten und sensible Informationen zu sammeln.

Die Malware enthält außerdem zusätzliche Gerätesteuerungsmechanismen, darunter Anwendungsüberwachung, eine integrierte Firewall, die ausgewählte Apps blockieren oder zulassen kann, die Erstellung dauerhafter Benachrichtigungen und die Möglichkeit zur Verwaltung von VPN-Verbindungen.

Missbrauch von Berechtigungen und Persistenzmechanismen

BeatBanker nutzt in hohem Maße riskante Android-Berechtigungen, die seine Kontrolle über das Gerät erheblich erweitern. Diese Berechtigungen ermöglichen es der Schadsoftware, sich dauerhaft im System einzunisten, Aktionen zu automatisieren und Befehle ohne Wissen des Nutzers auszuführen.

Zu den wichtigsten Funktionen, die durch diese Berechtigungen ermöglicht werden, gehören:

Barrierefreier Zugriff, der automatisiertes Tippen, Wischen und die Manipulation der Benutzeroberfläche ermöglicht
Overlay-Berechtigungen, die es ermöglichen, gefälschte Bildschirme über legitimen Anwendungen anzuzeigen
Berechtigung zur Installation von Anwendungen aus unbekannten Quellen, wodurch die stille Installation zusätzlicher schädlicher Komponenten ermöglicht wird
Die Fähigkeit, Links zu öffnen, USSD-Codes auszuführen und weitere Schadsoftwarepakete zu installieren

Diese Berechtigungen verwandeln das infizierte Gerät in eine ferngesteuerte Plattform, die in der Lage ist, komplexe bösartige Operationen auszuführen.

Neue Variante tarnt sich als StarLink-Anwendung

Sicherheitsforscher haben eine neue Variante von BeatBanker entdeckt, die sich als gefälschte StarLink-Anwendung tarnt und Android-Nutzer ins Visier nimmt. Im Gegensatz zu früheren Versionen installiert diese Variante nicht die übliche Banking-Trojaner-Komponente.

Stattdessen wird der Remote-Administrationstrojaner BTMOB (RAT) eingesetzt. BTMOB gewährt Angreifern vollen Fernzugriff auf kompromittierte Geräte und wird als Malware-as-a-Service (MaaS) vertrieben, wodurch Cyberkriminelle das Tool erwerben und einsetzen können, ohne eine eigene Malware-Infrastruktur entwickeln zu müssen.

Infektionsvektor und betriebliche Auswirkungen

BeatBanker-Infektionen beginnen typischerweise mit einer Phishing-Kampagne, die Opfer auf gefälschte Webseiten lockt, die dem offiziellen Google Play Store nachempfunden sind. Nutzer werden dazu verleitet, schädliche Anwendungen herunterzuladen, die sich als staatliche Dienste wie „INSS Reembolso“ oder ähnliche gefälschte Hilfsprogramme ausgeben.

Ein Gerät wird kompromittiert, sobald das Opfer die gefälschte Anwendung installiert. Nach der Aktivierung lädt BeatBanker weitere Komponenten herunter, darunter den Kryptowährungs-Miner, und erlangt dauerhaften Zugriff auf das Gerät.

Die kombinierten Fähigkeiten der Schadsoftware ermöglichen es Angreifern, Kryptowährung zu schürfen, Finanzdaten zu stehlen, Transaktionen zu manipulieren und die Fernsteuerung infizierter Geräte zu übernehmen. Einige Varianten setzen zudem zusätzliche Schadsoftware wie BTMOB ein, wodurch Angreifer dauerhaften und uneingeschränkten Zugriff auf kompromittierte Systeme erhalten.

Der Insolvenzantrag des Zahlungsabwicklers Digital River GmbH von EnigmaSoft hat keine Auswirkungen auf den Anti-Malware-Schutz der SpyHunter-Kunden

Suche

Region ändern

BeatBanker Banking Trojan

Dateilose Ausführung und Anti-Analyse-Techniken

Social Engineering über gefälschte Google Play Store-Seiten

Kryptowährungs-Mining auf Geräten von Opfern

Mechanismen für Banktrojaner und Kryptowährungsdiebstahl

Führungs- und Kontrollfähigkeiten und Gerätemanipulation

Überwachungs- und Datenexfiltrationsfunktionen

Missbrauch von Berechtigungen und Persistenzmechanismen

Neue Variante tarnt sich als StarLink-Anwendung

Infektionsvektor und betriebliche Auswirkungen

Kommentar abgeben

Im Trend

Precludestore.com

Tarwils.com

Suddslife.com

Am häufigsten gesehen

So beheben Sie den Fehler 'Druckertreiber ist nicht...

So beheben Sie 'macOS kann nicht überprüfen, ob...

Discord zeigt beim Teilen des Bildschirms schwarzen...