MalwareCyberkriminalitätSchwachstellen

BeatBanker: Gefährliche Malware tarnt sich als Starlink und brasilianische Behörden-Apps

BeatBanker: Gefährliche Malware tarnt sich als Starlink und brasilianische Behörden-Apps
Zusammenfassung

Eine neue Android-Malware namens BeatBanker bedroht derzeit Smartphone-Nutzer in Brasilien mit einer raffinierten Kombination aus Bankbetrug und Kryptowährungs-Mining. Die Schadsoftware verbreitet sich über gefälschte Anwendungen, die legitime Dienste wie die Starlink-App und das brasilianische Regierungsportal INSS Reembolso imitieren und über eine nachgeahmte Google-Play-Store-Website verbreitet werden. Nach erfolgreicher Installation stiehlt BeatBanker Bankdaten, manipuliert Kryptowährungstransaktionen und schürft heimlich die Kryptowährung Monero auf dem infiziertem Gerät. Die Malware bleibt dabei geschickt verborgen, indem sie Batteriestatus und Nutzeraktivität überwacht sowie eine kaum hörbarer Audiodatei laufend abspielt, um das System-Deaktivieren zu verhindern. Besonders bemerkenswert ist ein weiterer Variante, die den Remote-Access-Trojaner BTMOB einsetzt und Angreifern vollständige Kontrolle über das Smartphone bietet. Obwohl alle bisherigen Infektionen in Brasilien dokumentiert wurden, sind solche mobilen Banking-Trojaner weltweit verbreitet und zeigen die wachsende Bedrohung für Smartphone-Nutzer – auch in Deutschland könnten ähnliche Angriffsmuster auf lokalisierte Apps übertragen werden.

Die Malware BeatBanker stellt eine erhebliche Bedrohung für Android-Nutzer dar und demonstriert die wachsende Professionalität von Cyberkriminellen im mobilen Bereich. Kaspersky dokumentierte in einem kürzlich veröffentlichten Report, wie das Schadprogramm mehrere Angriffsvektoren kombiniert, um maximalen Schaden anzurichten.

Besonders bemerkenswert ist die Technologie, mit der BeatBanker auf infizierten Geräten persistent bleibt. Das Malware-Programm spielt kontinuierlich eine kaum hörbare Audiodatei ab – ein ungewöhnlicher Trick, um das Android-System davon abzuhalten, die Anwendung wegen Inaktivität zu terminieren. Die Sicherheitsforscher stellten fest, dass diese Audiodatei chinesische Wörter enthält, konnten die Kampagne jedoch keiner spezifischen Bedrohungsgruppe zuordnen.

Das Schadprogramm ist zudem intelligent genug, seine Aktivitäten zu dosieren. BeatBanker überwacht Faktoren wie Batterietemperatur, Akkustand und Benutzeraktivität, um zu entscheiden, wann das energieintensive Monero-Mining starten oder stoppen soll. Diese Anpassungsfähigkeit hilft dem Malware-Programm, länger unentdeckt zu bleiben.

Zum Banking-Trojaner wird BeatBanker durch ein Overlay-System, das besonders gefährlich ist: Wenn Nutzer Kryptowährungen wie USDT über Apps wie Binance oder Trust Wallet versenden wollen, blendet die Malware eine gefälschte Transaktionsoberfläche ein. Die Empfängeradresse wird durch eine von den Angreifern kontrollierte Wallet ersetzt – eine subtile, aber hocheffektive Betrugsmethode.

Eine weitere Variante der Kampagne nutzt das BTMOB-Malware-Programm, einen Android-Remote-Access-Trojaner, der über ein Malware-as-a-Service-Modell vertrieben wird. BTMOB gibt Angreifern Vollzugriff auf das infizierte Gerät – inklusive Kamera, Tastenanschlägen, GPS-Daten und anderen sensiblen Informationen. Die Entwickler von BeatBanker haben BTMOB offenbar lizenziert und in ihre Kampagne integriert.

Alle bisherigen Infektionen mit BeatBanker wurden in Brasilien registriert, manche BTMOB-Varianten verbreiteten sich auch über WhatsApp und Phishing-Seiten. Dies unterstreicht, dass mobile Malware-Kampagnen nicht an Grenzen halten machen. Deutsche Nutzer sollten daher wachsam sein und nur Apps aus dem offiziellen Play Store herunterladen.

Ähnliche Artikel