Repéré par Kaspersky, BeatBanker combine accès distant, vol de données, minage de cryptomonnaie… et lecture MP3 en boucle pour rester actif en arrière-plan.
Les chercheurs de Kaspersky ont identifié une campagne Android reposant sur l’usurpation visuelle du Google Play Store. Les internautes y sont invités à télécharger ce qui ressemble à une application liée à Starlink, le service d’accès à Internet par satellite développé par SpaceX. Le fichier proposé est en réalité un APK malveillant qui installe BeatBanker sur l’appareil. Une fois actif, ce malware peut surveiller l’activité du téléphone, récupérer différentes informations sensibles et exploiter ses ressources pour miner de la cryptomonnaie.
Un malware conçu pour surveiller et contrôler l’appareil
Avant d'activer ses fonctionnalités malveillantes, BeatBanker procède d’abord à plusieurs vérifications de l’environnement dans lequel il s’exécute afin de détecter d’éventuels outils d’analyse. Si ces contrôles sont validés, l’application affiche un faux écran de mise à jour du Play Store dans le but d'obtenir les autorisations nécessaires à l’installation de composants supplémentaires.
Les premières versions du malware embarquaient un module de trojan bancaire capable de récupérer des identifiants et d’interférer avec certaines transactions en cryptomonnaies. Les variantes les plus récentes observées par Kaspersky privilégient désormais l’installation de BTMOB RAT, un outil d’accès distant qui permet aux opérateurs de surveiller l’activité du téléphone et de récupérer des informations directement sur l’appareil, notamment via l’enregistrement des frappes clavier, la capture d’écran, l’accès à la caméra ou encore le suivi de la position GPS.
BeatBanker exploite également les ressources du smartphone pour miner de la cryptomonnaie à l’aide d’une version modifiée du logiciel de minage XMRig, configurée pour générer du Monero.
Fait plus surprenant, le malware utilise aussi une méthode inattendue pour rester actif. Selon les chercheurs de Kaspersky, il lit en continu un court fichier MP3 presque inaudible, pour empêcher Android de suspendre le processus pour inactivité.
Une campagne qui pourrait s’étendre
Les infections observées jusqu’à présent concernent principalement des internautes au Brésil, mais les infrastructures utilisées et la méthode de diffusion pourraient facilement être adaptées à d’autres pays si l’opération s’avère rentable.
Par conséquent, comme toujours, faites extrêmement attention aux sites sur lesquels vous téléchargez vos applications sur Android. Si vous passez par le Play Store, faites-le depuis l’application officielle de Google et non depuis un site web, au risque de tomber sur une copie malveillante.
De manière générale, privilégiez les applications distribuées via la boutique officielle plutôt que les fichiers APK téléchargés sur des sites tiers. Vérifiez aussi systématiquement le nom de l’éditeur et le site web associé sur la page du Play Store.
Soyez également vigilant face aux applications fraîchement installées qui demandent immédiatement une mise à jour ou des autorisations supplémentaires, un comportement très rare pour une application légitime.
Enfin, ne désactivez jamais Play Protect et n’accordez pas d’accès aux services d’accessibilité Android à des applications téléchargées en dehors d’antivirus reconnus.
Source : Securelist
