Két fronton támad: lopás és bányászat
A BeatBanker nem csupán banki adatokat igyekszik megszerezni, hanem Monero-kriptopénzt is bányászik a telefonokon. Az egyik változatában a BTMOB RAT távoli hozzáférést is biztosít a támadóknak: az összes billentyűleütést rögzíti, képernyőfelvételt készít, használja a kamerát, követi a GPS-helyzetet, és bármikor megszerezheti a bejelentkezési adatokat. Ezek a képességek különösen veszélyessé teszik a kártevőt.
Ravasz túlélési trükkök
A program APK-fájlként terjed, és beágyazott könyvtárai révén a memóriába dekódolja a rejtett kódot. Indulás előtt ellenőrzi, hogy nem elemzés alatt fut-e, majd egy hamis Play Áruház-frissítési képernyővel csikar ki extra engedélyeket. A BeatBanker egyik legfurcsább trükkje, hogy öt másodperces, alig hallható kínai beszédet játszik folyamatosan egy MP3-állományból, amelyet egy háttérszolgáltatás (KeepAliveServiceMediaPlayback) futtat, így az operációs rendszer nem állítja le tétlenség miatt.
Rejtett kriptobányászat, profin álcázva
A program egy módosított XMRig-bányász 6.17.0-s verziójával bányászik Monerót ARM-eszközön, titkosított TLS-kapcsolattal csatlakozva a bányászmedencéhez, és ha kell, proxyt vált. A bányászatot mindig az eszköz kihasználtsága, hőmérséklete és töltöttsége szabályozza, így csak akkor fut, amikor az kevésbé feltűnő. A BeatBanker rendszeresen elküldi ezeket az adatokat a vezérlőszerverének, hogy hosszú ideig titokban maradhasson.
Védekezés és elővigyázatosság
Bár jelenleg főként Brazíliában terjedt el, könnyen eljuthat más országokba. Soha ne telepíts alkalmazást megbízhatatlan forrásból, minden engedélykérést alaposan vizsgálj meg, és használd a Play Protect szkennelést!
