📰 Informação fresquinha chegando para você!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um novo malware para Android chamado BeatBanker pode sequestrar dispositivos e enganar os usuários para que o instalem, fazendo-se passar por um aplicativo Starlink em sites que se passam pela Google Play Store oficial.
O malware combina funções de trojan bancário com mineração de Monero e pode roubar credenciais, bem como adulterar transações de criptomoedas.
Pesquisadores da Kaspersky descobriram o BeatBanker em campanhas direcionadas a usuários no Brasil. Eles também descobriram que a versão mais recente do malware implanta o trojan comum de acesso remoto para Android, chamado BTMOB RAT, em vez do módulo bancário.
O BTMOB RAT fornece aos operadores controle total do dispositivo, keylogging, gravação de tela, acesso à câmera, rastreamento GPS e recursos de captura de credenciais.
Persistência via MP3
BeatBanker é distribuído como um arquivo APK que usa bibliotecas nativas para descriptografar e carregar código DEX oculto diretamente na memória, para evasão.
Antes do lançamento, ele realiza verificações de ambiente para garantir que não esteja sendo analisado. Se aprovado, ele exibe uma tela falsa de atualização da Play Store para induzir as vítimas a conceder permissões para instalar cargas adicionais.
A falsa mensagem de atualizaçãoFonte: Kaspersky
Para evitar o acionamento de alarmes, o BeatBanker atrasa operações maliciosas por um período após sua instalação.
De acordo com a Kaspersky, o malware possui um método incomum para manter a persistência, que consiste em reproduzir continuamente uma gravação quase inaudível de 5 segundos de fala chinesa a partir de um arquivo MP3 chamado output8.mp3.
“O componente KeepAliveServiceMediaPlayback garante operação contínua iniciando a reprodução ininterrupta via MediaPlayer”, explica a Kaspersky em um relatório hoje.
"Ele mantém o serviço ativo em primeiro plano por meio de uma notificação e carrega um pequeno arquivo de áudio contínuo. Essa atividade constante evita que o sistema suspenda ou encerre o processo por inatividade."
Mineração furtiva de criptomoedas
O BeatBanker usa um minerador XMRig modificado versão 6.17.0, compilado para dispositivos ARM, para extrair Monero em dispositivos Android. O XMRig se conecta a pools de mineração controlados pelo invasor usando conexões TLS criptografadas e recorre a um proxy se o endereço primário falhar.
Processo de implantação do mineradorFonte: Kaspersky
O minerador pode ser iniciado ou parado dinamicamente com base nas condições do dispositivo, que os operadores monitoram de perto para garantir a operação ideal e manter a discrição.
Usando o Firebase Cloud Messaging (FCM), o malware envia continuamente ao servidor de comando e controle (C2) informações sobre o nível e temperatura da bateria do dispositivo, status de carregamento, atividade de uso e se ele superaqueceu.
Ao interromper a mineração quando o dispositivo está em uso e ao limitar seu impacto físico, o malware pode permanecer oculto por um período mais longo, minerando criptomoedas quando as condições permitirem.
Embora a Kaspersky tenha observado todas as infecções do BeatBanker no Brasil, o malware pode se expandir para outros países se for comprovado que é eficaz, portanto, vigilância e boas práticas de segurança são recomendadas.
Os usuários do Android não devem carregar APKs de fora da loja oficial do Google Play, a menos que confiem no editor/distribuidor, devem revisar as permissões concedidas para aqueles arriscados que não são relevantes para a funcionalidade do aplicativo e realizar verificações regulares do Play Protect.
Red Report 2026: Por que a criptografia de ransomware caiu 38%
O malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos. Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.
Baixe o relatório
O malware combina funções de trojan bancário com mineração de Monero e pode roubar credenciais, bem como adulterar transações de criptomoedas.
Pesquisadores da Kaspersky descobriram o BeatBanker em campanhas direcionadas a usuários no Brasil. Eles também descobriram que a versão mais recente do malware implanta o trojan comum de acesso remoto para Android, chamado BTMOB RAT, em vez do módulo bancário.
O BTMOB RAT fornece aos operadores controle total do dispositivo, keylogging, gravação de tela, acesso à câmera, rastreamento GPS e recursos de captura de credenciais.
Persistência via MP3
BeatBanker é distribuído como um arquivo APK que usa bibliotecas nativas para descriptografar e carregar código DEX oculto diretamente na memória, para evasão.
Antes do lançamento, ele realiza verificações de ambiente para garantir que não esteja sendo analisado. Se aprovado, ele exibe uma tela falsa de atualização da Play Store para induzir as vítimas a conceder permissões para instalar cargas adicionais.
A falsa mensagem de atualizaçãoFonte: Kaspersky
Para evitar o acionamento de alarmes, o BeatBanker atrasa operações maliciosas por um período após sua instalação.
De acordo com a Kaspersky, o malware possui um método incomum para manter a persistência, que consiste em reproduzir continuamente uma gravação quase inaudível de 5 segundos de fala chinesa a partir de um arquivo MP3 chamado output8.mp3.
“O componente KeepAliveServiceMediaPlayback garante operação contínua iniciando a reprodução ininterrupta via MediaPlayer”, explica a Kaspersky em um relatório hoje.
"Ele mantém o serviço ativo em primeiro plano por meio de uma notificação e carrega um pequeno arquivo de áudio contínuo. Essa atividade constante evita que o sistema suspenda ou encerre o processo por inatividade."
Mineração furtiva de criptomoedas
O BeatBanker usa um minerador XMRig modificado versão 6.17.0, compilado para dispositivos ARM, para extrair Monero em dispositivos Android. O XMRig se conecta a pools de mineração controlados pelo invasor usando conexões TLS criptografadas e recorre a um proxy se o endereço primário falhar.
Processo de implantação do mineradorFonte: Kaspersky
O minerador pode ser iniciado ou parado dinamicamente com base nas condições do dispositivo, que os operadores monitoram de perto para garantir a operação ideal e manter a discrição.
Usando o Firebase Cloud Messaging (FCM), o malware envia continuamente ao servidor de comando e controle (C2) informações sobre o nível e temperatura da bateria do dispositivo, status de carregamento, atividade de uso e se ele superaqueceu.
Ao interromper a mineração quando o dispositivo está em uso e ao limitar seu impacto físico, o malware pode permanecer oculto por um período mais longo, minerando criptomoedas quando as condições permitirem.
Embora a Kaspersky tenha observado todas as infecções do BeatBanker no Brasil, o malware pode se expandir para outros países se for comprovado que é eficaz, portanto, vigilância e boas práticas de segurança são recomendadas.
Os usuários do Android não devem carregar APKs de fora da loja oficial do Google Play, a menos que confiem no editor/distribuidor, devem revisar as permissões concedidas para aqueles arriscados que não são relevantes para a funcionalidade do aplicativo e realizar verificações regulares do Play Protect.
Red Report 2026: Por que a criptografia de ransomware caiu 38%
O malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos. Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.
Baixe o relatório
#samirnews #samir #news #boletimtec #novo #malware #beatbanker #para #android #se #apresenta #como #aplicativo #starlink #para #sequestrar #dispositivos
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário