Kaspersky Labのアナリストは、BeatBankerという名のAndroidアプリケーションを発見しました。このアプリケーションは、Starlink衛星インターネットプラットフォームを巧妙に装っています。悪質な行為者は、公式のGoogle Playストアを模倣するように精密に設計されたドメインを通じてこの悪質なファイルを拡散しています。インストール時に、このソフトウェアはデバイスへのアクセスを乗っ取り、機密テレメトリーの露骨な盗難から暗号資産の秘密の抽出に至るまで、多くの悪質な操作を実行できるようにします。
BeatBankerはブラジル国民を罠に陥れるために明確に調整されており、銀行トロイの木馬の悪質な機能とMonero暗号資産マイニング装置を完全に統合しています。この悪質なアーキテクチャは、認証認証情報をインターセプトし、暗号トランザクション内で仲介を行い、マイニング目的でスマートフォンの計算リソースを容赦なく消費する強大な能力を持っています。
APKアーティファクトは、隠されたコードを解読してデバイスのボラティルメモリに直接挿入するネイティブライブラリを含んでいます。このような洗練された戦略は、従来の防御マトリックスを完全に回避するのに役立ちます。爆発前に、プログラムはその運用環境を厳密に監査して、フォレンジック分析ツールの完全な欠落を確保します。この精査が有利に終了した場合、ユーザーには偽のGoogle Play更新プロンプトが表示されます。この欺瞞的なメッセージは、ユーザーを説得的に強制して、補助的な悪質なコンポーネントの摂取に必要なシステム権限を放棄させます。
初期の段階では、BeatBankerは銀行トロイの木馬としてのみ機能していました。しかし、より現代的な標本は、BTMOB RATとして知られているリモートアクセストロイの木馬を展開しています。そのような強大なツールは、侵害されたスマートフォンに対する絶対的で、混合されていない支配権を付与しています。オペレータはそれにより、密かにキーストロークをログし、ビジュアルスクリーンショットをキャプチャし、光学センサーを起動し、粒度の高いジオロケーションテレメトリーを追跡し、神聖な認証情報をインターセプトすることができます。
この毒性のあるソフトウェアの建築者は、システムの永続性を強化するために、非常に魅力的なメカニズムを配置しました。KeepAliveServiceMediaPlaybackサービスは、output8.mp3という名前のファイルから取得された、ほぼ知覚できない5秒間の中国語音声録音を継続的にループします。この絶え間ない音声再生は、プロセスを永遠の警戒状態で人為的に維持し、知覚されたドーマンシーのためにサービスを終了しようとするオペレーティングシステムの試みを阻止します。
BeatBankerは同時にXMRig 6.17.0暗号資産マイナーの変異反復を起動し、ARMベースのアーキテクチャ用に慎重にコンパイルされました。プログラムは、堅牢なTLS暗号化された導管を介して暗号資産マイニングプールと相互作用します。プライマリコーディネートが到達不可能になった場合、冗長プロキシサーバーがシームレスに起動されます。
悪質なソフトウェアは、スマートフォンの生理的状態に対する警戒的で、まばたきのない監視を維持しています。Firebase Cloud Messagingアーキテクチャを利用して、指令・制御ネクサスはデバイスの熱署名、バッテリー予備、ユーザー関与、および充電ステータスに関するリアルタイムテレメトリーを取り込みます。マイニング装置は、最適な生理的条件下でのみ点火され、スマートフォンがその所有者によって積極的に関与される瞬間に自律的に操作を停止します。このような洗練された戦略はシステムストレインを劇的に緩和し、悪質な活動が非常に長期間にわたって曖昧性の中に隠されたままであることを保証します。
Starlinkアプリケーションの外観を超えて、この悪質なソフトウェアは、INSS Reembolsoというブラジルの地域化された政府サービスポータルとしても装われていました。感染はこれまでのところブラジルの国境内でのみ記録されていますが、このマキャベリアンスキームの否定できない成功は、この毒性のあるソフトウェアが異なる主権国家全体に急速に拡散することを強く予告しています。
