Die von Kaspersky beschriebene Schadsoftware BeatBanker wird als APK-Datei verteilt und nutzt native Bibliotheken, um versteckten DEX-Code zu entschlüsseln und direkt in den Arbeitsspeicher zu laden — eine Technik, die der Tarnung vor Analysewerkzeugen dient. Vor dem Start prüft die Malware ihre Umgebung, um sicherzustellen, dass sie nicht analysiert wird. Besteht sie diese Prüfung, zeigt sie eine gefälschte Aktualisierungsanzeige des Play Store an und verleitet das Opfer so dazu, Berechtigungen für die Installation weiterer Schadkomponenten zu erteilen.
Um keinen Verdacht zu erregen, verzögert BeatBanker seine schädlichen Aktivitäten zunächst für eine gewisse Zeit nach der Installation. Für die dauerhafte Verankerung im System nutzt die Software laut Kaspersky eine ungewöhnliche Methode: Sie spielt fortlaufend eine nahezu unhörbare, fünf Sekunden lange Aufnahme chinesischer Sprache aus einer MP3-Datei namens output8.mp3 ab. Die Komponente KeepAliveServiceMediaPlayback halte den Dienst durch die ununterbrochene Wiedergabe über den MediaPlayer aktiv, erklärt Kaspersky. Sie hält den Prozess im Vordergrund und lädt eine kleine, dauerhaft laufende Audiodatei — diese ständige Aktivität verhindert, dass das System den Prozess wegen Inaktivität anhält oder beendet.
Zum Schürfen von Monero verwendet BeatBanker eine modifizierte Variante des XMRig-Miners in der Version 6.17.0, die für ARM-Geräte kompiliert wurde. XMRig verbindet sich über verschlüsselte TLS-Verbindungen mit von den Angreifern kontrollierten Mining-Pools und greift auf einen Proxy zurück, falls die primäre Adresse ausfällt. Der Miner lässt sich je nach Gerätezustand dynamisch starten oder stoppen.
Über Firebase Cloud Messaging (FCM) übermittelt die Malware ihrem Steuerungsserver fortlaufend Informationen über das Gerät — darunter Akkustand und Temperatur, Ladezustand, Nutzungsaktivität sowie eine mögliche Überhitzung. Indem das Schürfen pausiert, sobald das Gerät genutzt wird, und die physische Belastung begrenzt bleibt, kann die Software länger unentdeckt agieren und nur dann Kryptowährung schürfen, wenn die Bedingungen es zulassen.
Die jüngste Version setzt statt des Banking-Moduls den Fernzugriffstrojaner BTMOB RAT ein. Dieser verschafft den Betreibern die vollständige Kontrolle über das Gerät und bietet Funktionen wie Keylogging, Bildschirmaufzeichnung, Kamerazugriff, GPS-Verfolgung und das Abgreifen von Zugangsdaten.
Kaspersky empfiehlt Android-Nutzern, APK-Dateien nicht außerhalb des offiziellen Play Store zu installieren, sofern sie dem Anbieter nicht vertrauen, erteilte Berechtigungen auf riskante und für die Funktion der App irrelevante Rechte zu überprüfen und regelmäßig Scans mit Play Protect durchzuführen.
