New BeatBanker Android malware poses as Starlink app to hijack devices
Mis à jour :
BeatBanker : Le cheval de Troie Android dissimulé derrière Starlink
BeatBanker est un nouveau logiciel malveillant Android ciblant principalement les utilisateurs au Brésil. Se faisant passer pour l’application officielle Starlink via de faux sites imitant le Google Play Store, ce malware combine des fonctionnalités de cheval de Troie bancaire, de mineur de cryptomonnaie (Monero) et de RAT (Remote Access Trojan).
Points clés :
- Persistance sonore : Pour éviter d’être suspendu par le système Android, le malware maintient une activité en arrière-plan en lisant en boucle un fichier MP3 inaudible.
- Stratégie d’évasion : Le logiciel effectue des vérifications d’environnement pour détecter les analyses, utilise des bibliothèques natives pour décrypter le code en mémoire, et retarde ses opérations malveillantes après l’installation.
- Minage furtif : Il utilise une version modifiée de XMRig. Le minage est géré dynamiquement via Firebase Cloud Messaging (FCM) : il s’arrête lorsque l’appareil est utilisé ou surchauffe pour rester inaperçu.
- Évolution : Les versions récentes déploient le RAT “BTMOB”, offrant aux attaquants un contrôle total sur l’appareil (capture d’écran, keylogging, accès GPS, caméra).
Vulnérabilités exploitées :
- Aucune CVE spécifique n’est mentionnée ; le malware exploite la confiance des utilisateurs par le “side-loading” d’APK non officiels et l’octroi excessif de permissions système.
Recommandations :
- Installation d’applications : Ne jamais installer d’APK en dehors du Google Play Store officiel, sauf source extrêmement fiable.
- Gestion des permissions : Examiner attentivement les autorisations demandées par les applications et refuser celles qui ne semblent pas justifiées par la fonctionnalité du service.
- Sécurité système : Maintenir Google Play Protect activé pour effectuer des scans réguliers des applications installées.