新 BeatBanker Android 恶意软件伪装成 Starlink 应用，劫持设备

Source: Bleeping Computer

概述

一种名为 BeatBanker 的新 Android 恶意软件可以劫持设备，并通过在伪装成官方 Google Play 商店的网站上冒充 Starlink 应用来诱骗用户安装。该恶意软件将银行木马功能与 Monero 挖矿相结合，能够窃取凭据并篡改加密货币交易。

卡巴斯基研究人员在针对巴西用户的攻击活动中发现了 BeatBanker。他们还发现，最新版本的恶意软件不再使用银行模块，而是部署了常见的 Android 远程访问木马 BTMOB RAT。BTMOB RAT 为操作者提供完整的设备控制、按键记录、屏幕录制、摄像头访问、GPS 跟踪以及凭据捕获能力。

通过 MP3 实现持久化

BeatBanker 以 APK 文件形式分发，使用本地库解密并直接将隐藏的 DEX 代码加载到内存中，以实现规避。在启动之前，它会进行环境检查，以确保未被分析。如果检查通过，它会显示一个伪造的 Play 商店更新界面，诱骗受害者授予权限以安装额外的有效载荷。

伪造的更新提示
来源：卡巴斯基

为了避免触发警报，BeatBanker 在安装后会延迟一段时间才执行恶意操作。

卡巴斯基表示，恶意软件采用了一种不寻常的持久化方式，即持续播放一个几乎听不见的 5 秒中文语音录音，文件名为 output8.mp3。

“KeepAliveServiceMediaPlayback 组件通过 MediaPlayer 启动不间断播放，以确保持续运行，”卡巴斯基在今日的报告中解释道。
“它使用通知将服务保持在前台，并加载一个小的、连续的音频文件。这种持续的活动防止系统因空闲而挂起或终止进程。”
阅读完整报告

隐蔽的加密货币挖矿

BeatBanker 使用经过修改的 XMRig 挖矿程序（版本 6.17.0），为 ARM 设备编译，以在 Android 设备上挖掘 Monero。XMRig 通过加密的 TLS 连接与攻击者控制的矿池通信，如果主地址不可用则会回退到代理。

矿工部署过程
来源：卡巴斯基

矿工可以根据设备状态动态启动或停止，操作者会密切监控这些条件，以确保最佳运行并保持隐蔽。通过 Firebase Cloud Messaging（FCM），恶意软件持续向指挥控制（C2）服务器发送设备的电池电量、温度、充电状态、使用活动以及是否过热等信息。

当设备正在使用时停止挖矿，并限制其对设备的物理影响，恶意软件能够在条件允许时进行加密货币挖掘，从而延长隐藏时间。

虽然卡巴斯基观察到的所有 BeatBanker 感染案例均发生在巴西，但如果该恶意软件被证明有效，可能会扩展到其他国家。因此，建议保持警惕并采取良好的安全措施。

对 Android 用户的建议

• 除非信任发布者/分发者，否则避免从官方 Google Play 商店之外的渠道侧载 APK。
• 检查已授予的权限，并撤销与应用功能无关的权限。
• 定期进行 Play Protect 扫描。