Die von Kaspersky BeatBanker getaufte Malware gelangt über gefälschte Anwendungen auf Smartphones, die echte Dienste nachahmen. Zu den Ködern zählen die Starlink-App für Satelliten-Internet sowie das brasilianische Behördenportal INSS Reembolso. Beide wurden über eine Website verbreitet, die sich als offizieller Google Play Store tarnte.

Ist die Software einmal installiert, beginnt sie im Hintergrund mit dem Schürfen der Kryptowährung Monero. Dabei überwacht sie Faktoren wie Akkutemperatur, Ladezustand und Nutzeraktivität, um zu entscheiden, wann der Mining-Prozess gestartet oder gestoppt wird – ein Vorgehen, das ihr hilft, unentdeckt zu bleiben.

Um sich dauerhaft auf den befallenen Geräten zu halten, nutzt BeatBanker laut Kaspersky eine ungewöhnliche Technik: Sie spielt fortlaufend eine nahezu unhörbare Audiodatei ab, damit das Android-System die Anwendung nicht wegen Inaktivität beendet. Kaspersky merkte an, dass die Audiodatei mehrere chinesische Wörter enthält, ordnete die Kampagne aber keinem konkreten Bedrohungsakteur zu.

Neben dem Mining bringt die Malware einen Banking-Trojaner mit, der auf die Manipulation von Krypto-Überweisungen ausgelegt ist. Versuchen Opfer, mit Apps wie Binance oder Trust Wallet die Währung USDT zu versenden, legt sich die Schadsoftware mit einer täuschend echten Oberfläche über den Transaktionsbildschirm und ersetzt die eigentliche Zieladresse durch eine von den Angreifern kontrollierte Wallet.

Die Forscher identifizierten zudem eine weitere Variante der Kampagne, die ebenfalls eine gefälschte Starlink-App als Köder nutzt. In diesem Fall liefert die Malware BTMOB aus, einen Android-Trojaner für den Fernzugriff, der im Rahmen eines Malware-as-a-Service-Modells verkauft wird.

Nach der Installation verschafft BTMOB den Angreifern die vollständige Fernsteuerung über das Gerät, einschließlich Zugriff auf Kamera, Tastatureingaben, GPS-Standort und weitere sensible Daten. Die Forscher gehen davon aus, dass die Urheber von BeatBanker die BTMOB-Malware vermutlich bei deren Entwicklern erworben und in ihre Kampagne integriert haben, wobei sie das in früheren Infektionen genutzte Banking-Modul ersetzten.

Alle mit BeatBanker in Verbindung gebrachten Infektionen wurden in Brasilien festgestellt. Einige Samples, die die BTMOB-Komponente verbreiteten, schienen sich über WhatsApp-Nachrichten und Phishing-Seiten auszubreiten.

Kaspersky verweist zudem auf weitere mobile Bedrohungen der jüngeren Zeit, darunter den Banking-Trojaner Herodotus, der menschliches Verhalten nachahmt, um einer Erkennung zu entgehen, sowie Crocodilus, der die Kontaktlisten der Opfer manipuliert, um vertrauenswürdige Telefonnummern vorzutäuschen und den Betrugsschutz von Banken zu umgehen.