Kaspersky-Forscher haben eine neue Android-Malware namens BeatBanker aufdeckt, die Geräte von Nutzern in Brasilien ins Visier nimmt. Das Schadprogramm nutzt eine raffinierte Verbreitungsmethode: Es tarnt sich als Starlink-App auf Websites, die das Aussehen des offiziellen Google Play Store nachahmen.
Die Funktionalität von BeatBanker ist besonders tückisch. Das Malware-System kombiniert die Fähigkeiten eines Banking-Trojaners mit einem Monero-Miner und kann Zugangsdaten ausspionieren sowie Kryptowährungstransaktionen manipulieren. In neueren Varianten setzt die Malware zusätzlich auf den Android-RAT BTMOB ein, der den ursprünglichen Banking-Modul ersetzt und Cyberkriminellen umfassende Kontrolle über infizierte Geräte ermöglicht – inklusive Tastenprotokollierung, Bildschirmaufnahmen, Kamerazugriff, GPS-Tracking und Credential-Capturing.
Die Verteilung erfolgt über APK-Dateien, die native Bibliotheken zur Verschlüsselung und direkten Speicherladung von verstecktem DEX-Code nutzen. Bevor die Malware aktiv wird, führt sie Umgebungschecks durch, um Analyse-Sandboxen zu erkennen. Nach bestandener Überprüfung zeigt BeatBanker einen gefälschten Play-Store-Update-Bildschirm an und manipuliert Nutzer in die Gewährung von Installationsberechtigungen für weitere Schadprogramme.
Besonders kreativ ist die Persistenzmethode: Ein spezieller Dienst namens KeepAliveServiceMediaPlayback spielt kontinuierlich eine fast unhörbare fünf Sekunden lange chinesische Sprachaufnahme ab (output8.mp3). Dies hält den Dienst ständig im Vordergrund aktiv und verhindert, dass das System den Prozess aufgrund von Inaktivität beendet.
Zum Schürfen von Monero nutzt BeatBanker eine modifizierte Version des XMRig-Miners (6.17.0), kompiliert für ARM-Prozessoren. Der Miner verbindet sich über verschlüsselte TLS-Verbindungen mit attacker-kontrollierten Mining-Pools und weicht auf Proxy-Server aus, sollte die Primäradresse ausfallen.
Ein intelligentes Stealth-System überwacht kontinuierlich die Gerätebedingungen: Via Firebase Cloud Messaging sendet BeatBanker dem Command-and-Control-Server Informationen über Akkuladestand, Temperatur, Ladestatus und Aktivitätsmuster. Der Miner stoppt automatisch, wenn das Gerät aktiv genutzt wird, und läuft nur bei günstigen Bedingungen – eine Strategie, die die Entdeckung deutlich erschwert.
Obwohl Kaspersky bislang alle Infektionen auf Brasilien begrenzt hat, warnen Experten vor einer möglichen internationalen Ausbreitung. Android-Nutzer sollten APKs nur aus dem offiziellen Google Play Store installieren, gewährte Berechtigungen kritisch überprüfen und regelmäßige Play-Protect-Scans durchführen, um sich vor dieser Bedrohung zu schützen.