Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants mobiles Trojan bancaire BeatBanker

Trojan bancaire BeatBanker

Par Mezo en Logiciels malveillants mobiles, Cheval de Troie bancaire
Se traduisent par :

BeatBanker est un logiciel malveillant sophistiqué pour Android, diffusé via des sites web frauduleux imitant le Google Play Store. Cette campagne malveillante incite les utilisateurs à télécharger des applications d'apparence légitime, mais qui hébergent en réalité un puissant cheval de Troie bancaire doté de capacités de minage de cryptomonnaie. Une fois installé, le logiciel malveillant peut prendre le contrôle de l'appareil infecté, manipuler les interfaces utilisateur et effectuer des transactions financières non autorisées. Il est essentiel de le supprimer immédiatement dès la détection de la menace, car son fonctionnement continu peut entraîner des pertes financières, des atteintes à la vie privée et une compromission permanente de l'appareil.

Techniques d’exécution sans fichier et d’anti-analyse

Lors de son exécution, BeatBanker commence par collecter des informations réseau essentielles, notamment l'adresse IP de l'appareil, son type, l'état d'utilisation du VPN et les détails de connectivité associés. Au lieu de stocker ses composants malveillants sous forme de fichiers sur la mémoire de l'appareil, le logiciel malveillant charge son code directement en mémoire vive. Cette technique d'exécution sans fichier réduit considérablement les risques de détection par les outils de sécurité mobile classiques.

Pour échapper davantage à l'analyse, BeatBanker vérifie s'il s'exécute dans un environnement de test ou de recherche, tel qu'un émulateur ou un bac à sable. Si de telles conditions sont détectées, le logiciel malveillant interrompt immédiatement son fonctionnement. Ce mécanisme de défense empêche les chercheurs en cybersécurité et les systèmes automatisés d'analyser son comportement.

Ingénierie sociale via de fausses pages Google Play Store

Après avoir passé avec succès ses tests environnementaux, BeatBanker affiche une interface contrefaite imitant fortement la page du Google Play Store pour une application nommée « INSS Reembolso », prétendant faussement qu'une mise à jour logicielle est requise. Lorsque l'utilisateur sélectionne l'option « Mettre à jour », le logiciel malveillant demande l'autorisation d'installer des applications et télécharge des composants malveillants dissimulés.

Au lieu de s'appuyer sur l'infrastructure légitime de Google Play, le logiciel malveillant installe directement ces composants en exploitant des privilèges d'installation élevés. Pour assurer sa persistance, il génère une fausse notification de mise à jour système et exécute un service en premier plan qui lit discrètement des fichiers multimédias, empêchant ainsi le système d'exploitation de mettre fin au processus malveillant.

Minage de cryptomonnaies sur les appareils des victimes

L'un des éléments cachés de BeatBanker est un mineur de cryptomonnaie intégré à un fichier téléchargé. Ce composant est une version modifiée de XMRig conçue pour exploiter les ressources du processeur de l'appareil infecté afin de miner de la cryptomonnaie pour le compte des attaquants.

Le logiciel malveillant gère intelligemment l'activité de minage en surveillant des paramètres système tels que le niveau de la batterie, la température de l'appareil et l'activité de l'utilisateur. En fonction de ces conditions, le mineur peut automatiquement démarrer ou interrompre son fonctionnement afin de réduire les soupçons et de prolonger l'infection.

Troie bancaire et mécanismes de vol de cryptomonnaies

Outre sa capacité de minage de cryptomonnaie, BeatBanker déploie un cheval de Troie bancaire qui tente d'obtenir des autorisations d'accès. L'octroi de ces autorisations permet aux attaquants de contrôler l'interface de l'appareil et de surveiller les interactions de l'utilisateur.

Le logiciel malveillant surveille activement les applications ouvertes et cible spécifiquement les plateformes de cryptomonnaies telles que Binance et Trust Wallet, en particulier les transactions en USDT. Lorsqu'une victime initie un transfert, BeatBanker superpose l'interface légitime de la transaction à un écran frauduleux. Durant cette opération, le logiciel malveillant remplace discrètement l'adresse du destinataire par une adresse contrôlée par les attaquants, redirigeant ainsi les fonds à l'insu de la victime.

Le module bancaire détecte également la présence de plusieurs navigateurs mobiles courants et collecte des informations de navigation. Il peut manipuler les liens enregistrés dans le navigateur par défaut en ajoutant, modifiant, supprimant ou listant des entrées, et ouvrir des URL fournies par un attaquant.

Capacités de commande et de contrôle et manipulation des dispositifs

BeatBanker communique avec un serveur de commande et de contrôle (C2), permettant aux attaquants de gérer à distance les appareils infectés et d'exécuter des commandes. Grâce à cette infrastructure, le logiciel malveillant peut mener diverses actions malveillantes, notamment l'affichage de fausses mises à jour système, le verrouillage de l'écran, l'extraction du contenu du presse-papiers et la transmission d'enregistrements audio aux cybercriminels.

Ce logiciel malveillant offre des fonctionnalités supplémentaires telles que l'envoi de SMS, l'ouverture de liens contrôlés par l'attaquant dans les navigateurs, la mise à jour des identifiants enregistrés et la consultation de la liste des fichiers stockés sur l'appareil. Il peut également effectuer des actions destructrices comme la suppression de fichiers, la réinitialisation d'usine ou sa désinstallation afin d'effacer toute trace après son exécution.

Fonctionnalités de surveillance et d’exfiltration de données

Au-delà du vol financier, BeatBanker fait office d'outil de surveillance étendu. Il est capable d'enregistrer les frappes au clavier, d'extraire le texte affiché à l'écran, de prendre des captures d'écran et de diffuser l'écran de l'appareil en temps réel. La surveillance continue des applications en cours d'exécution permet aux attaquants d'observer le comportement de l'utilisateur et de collecter des informations sensibles.

Le logiciel malveillant contient également des mécanismes de contrôle supplémentaires des appareils, notamment la surveillance des applications, un pare-feu intégré capable de bloquer ou d'autoriser certaines applications, la création de notifications persistantes et la possibilité de gérer les connexions VPN.

Mécanismes d’abus et de persistance des permissions

BeatBanker exploite de manière significative des autorisations Android à haut risque qui étendent considérablement son contrôle sur l'appareil. Ces autorisations permettent au logiciel malveillant de persister, d'automatiser des actions et d'exécuter des commandes à l'insu de l'utilisateur.

Les principales fonctionnalités activées par ces autorisations incluent :

  • Accès d'accessibilité, permettant des clics, des glissements et une manipulation de l'interface automatisés.
  • Autorisations de superposition permettant l'affichage de faux écrans par-dessus des applications légitimes
  • Autorisation d'installer des applications provenant de sources inconnues, permettant l'installation silencieuse de composants malveillants supplémentaires
  • La possibilité d'ouvrir des liens, d'exécuter des codes USSD et de déployer d'autres logiciels malveillants.

Ces privilèges transforment le dispositif infecté en une plateforme contrôlée à distance capable d'exécuter des opérations malveillantes complexes.

Une variante émergente déguisée en application Starlink

Des chercheurs en sécurité ont identifié une nouvelle variante de BeatBanker qui se fait passer pour une fausse application StarLink et cible les utilisateurs Android. Contrairement aux versions précédentes, cette variante n'installe pas le composant traditionnel de cheval de Troie bancaire.

Au lieu de cela, il déploie le cheval de Troie d'administration à distance BTMOB (RAT). BTMOB accorde aux attaquants un accès distant complet aux appareils compromis et est distribué en tant que logiciel malveillant en tant que service (MaaS), permettant aux cybercriminels d'acheter et de déployer l'outil sans développer leur propre infrastructure de logiciels malveillants.

Vecteur d’infection et impact opérationnel

Les infections par BeatBanker débutent généralement par une campagne d'hameçonnage qui redirige les victimes vers des sites web frauduleux imitant le Google Play Store officiel. Les utilisateurs sont incités à télécharger des applications malveillantes se faisant passer pour des services gouvernementaux tels que « INSS Reembolso » ou d'autres applications utilitaires contrefaites.

Un appareil est compromis dès que la victime installe l'application contrefaite. Après son activation, BeatBanker récupère des composants supplémentaires, notamment le mineur de cryptomonnaie, et établit un accès permanent à l'appareil.

Les capacités combinées de ce logiciel malveillant permettent aux attaquants de miner des cryptomonnaies, de voler des données financières, de manipuler des transactions et de maintenir un contrôle à distance sur les appareils infectés. Certaines variantes déploient également des logiciels malveillants supplémentaires, tels que BTMOB, offrant ainsi aux adversaires un accès prolongé et illimité aux systèmes compromis.

Tendance

Le plus regardé

Chargement...