Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware móvil Troyano bancario BeatBanker

Troyano bancario BeatBanker

Por Mezo en Malware móvil, Troyano bancario
Traducir a:

BeatBanker es un sofisticado malware para Android que se distribuye a través de sitios web fraudulentos diseñados para imitar la Google Play Store. Esta campaña maliciosa engaña a los usuarios para que descarguen aplicaciones que parecen legítimas, pero que en realidad instalan un potente troyano bancario con capacidad para minar criptomonedas. Una vez instalado, el malware puede secuestrar el dispositivo infectado, manipular las interfaces de usuario y realizar transacciones financieras no autorizadas. Es fundamental eliminarlo inmediatamente al detectar la amenaza, ya que su uso continuado puede ocasionar pérdidas económicas, violaciones de la privacidad y la vulneración a largo plazo del dispositivo.

Técnicas de ejecución sin archivos y anti-análisis

Al ejecutarse, BeatBanker comienza recopilando información esencial de la red, como la dirección IP del dispositivo, el tipo de dispositivo, el estado de uso de la VPN y los detalles de conectividad relacionados. En lugar de almacenar sus componentes maliciosos como archivos en el almacenamiento del dispositivo, el malware carga su código directamente en la memoria. Esta técnica de ejecución sin archivos reduce significativamente la probabilidad de detección por parte de las herramientas de seguridad móvil tradicionales.

Para evadir aún más el análisis, BeatBanker comprueba si se está ejecutando en un entorno de prueba o investigación, como un emulador o un entorno aislado (sandbox). Si se detectan estas condiciones, el malware finaliza su ejecución de inmediato. Este mecanismo de defensa ayuda a impedir que los investigadores de ciberseguridad y los sistemas automatizados analicen su comportamiento.

Ingeniería social mediante páginas falsas de Google Play Store.

Tras superar las comprobaciones del entorno, BeatBanker muestra una interfaz falsa que se asemeja mucho a la página de Google Play Store de una aplicación llamada "INSS Reembolso", indicando falsamente que se requiere una actualización de software. Cuando el usuario selecciona la opción "Actualizar", el malware solicita permiso para instalar aplicaciones y descarga componentes maliciosos ocultos.

En lugar de utilizar la infraestructura legítima de Google Play, el malware instala estos componentes directamente abusando de los permisos de instalación elevados. Para mantener su persistencia, genera una notificación engañosa de actualización del sistema y ejecuta un servicio en primer plano que reproduce contenido multimedia silenciosamente, impidiendo que el sistema operativo finalice el proceso malicioso.

Minería de criptomonedas en dispositivos de víctimas

Una de las cargas útiles ocultas de BeatBanker es un minero de criptomonedas integrado en un archivo descargado. Este componente es una versión modificada de XMRig diseñada para explotar los recursos de la CPU del dispositivo infectado y minar criptomonedas en nombre de los atacantes.

El malware gestiona de forma inteligente la actividad minera monitorizando parámetros del sistema como el nivel de batería, la temperatura del dispositivo y la actividad del usuario. En función de estas condiciones, el programa minero puede iniciar o pausar automáticamente su funcionamiento para reducir las sospechas y prolongar la infección.

Mecanismos de robo de criptomonedas y troyanos bancarios

Además de su capacidad para la minería de criptomonedas, BeatBanker implementa un troyano bancario que intenta obtener permisos de acceso. Otorgar estos permisos permite a los atacantes controlar la interfaz del dispositivo y monitorizar las interacciones del usuario.

El malware rastrea activamente las aplicaciones que se abren y ataca específicamente plataformas de criptomonedas como Binance y Trust Wallet, con especial atención a las transacciones con USDT. Cuando la víctima inicia una transferencia, BeatBanker superpone una pantalla fraudulenta a la interfaz legítima de la transacción. Durante este proceso, el malware reemplaza silenciosamente la dirección del destinatario original por una dirección controlada por los atacantes, lo que provoca que los fondos se redirijan sin que la víctima se dé cuenta.

El módulo bancario también evalúa la presencia de varios navegadores móviles de uso común y recopila información de navegación. Puede manipular los enlaces guardados en el navegador predeterminado, agregando, editando, eliminando o listando entradas, y puede abrir URL proporcionadas por el atacante.

Capacidades de mando y control y manipulación de dispositivos

BeatBanker se comunica con un servidor de comando y control (C2), lo que permite a los atacantes administrar de forma remota los dispositivos infectados y emitir comandos. A través de esta infraestructura, el malware puede ejecutar una amplia gama de acciones maliciosas, como mostrar actualizaciones falsas del sistema, bloquear la pantalla del dispositivo, extraer el contenido del portapapeles y transmitir grabaciones de audio a los ciberdelincuentes.

Entre sus capacidades adicionales se incluyen el envío de mensajes SMS, la apertura de enlaces controlados por el atacante en navegadores, la actualización de credenciales almacenadas y la visualización de los archivos guardados en el dispositivo. El malware también puede realizar acciones destructivas, como eliminar archivos, restablecer la configuración de fábrica o desinstalarse para borrar cualquier rastro tras completar una operación.

Funciones de vigilancia y filtración de datos

Más allá del robo financiero, BeatBanker funciona como una extensa herramienta de vigilancia. Es capaz de registrar las pulsaciones del teclado, extraer el texto que aparece en pantalla, capturar capturas de pantalla y transmitir la pantalla del dispositivo en tiempo real. La monitorización continua de las aplicaciones en ejecución permite a los atacantes observar el comportamiento del usuario y recopilar información confidencial.

El malware también contiene mecanismos adicionales de control de dispositivos, como la monitorización de aplicaciones, un cortafuegos integrado que puede bloquear o permitir aplicaciones específicas, la creación de notificaciones persistentes y la capacidad de gestionar conexiones VPN.

Abuso de permisos y mecanismos de persistencia

BeatBanker se basa en gran medida en permisos de Android de alto riesgo que extienden significativamente su control sobre el dispositivo. Estos permisos permiten que el malware mantenga su persistencia, automatice acciones y ejecute comandos sin que el usuario se dé cuenta.

Las principales funcionalidades que permiten estos permisos incluyen:

  • Acceso accesible, que permite toques, deslizamientos y manipulación de la interfaz automatizados.
  • Permisos de superposición que permiten que aparezcan pantallas falsas sobre aplicaciones legítimas.
  • Permiso para instalar aplicaciones de fuentes desconocidas, lo que permite la instalación silenciosa de componentes maliciosos adicionales.
  • La capacidad de abrir enlaces, ejecutar códigos USSD y desplegar paquetes de malware adicionales

Estos privilegios transforman el dispositivo infectado en una plataforma controlada remotamente, capaz de ejecutar operaciones maliciosas complejas.

Variante emergente disfrazada de aplicación StarLink

Investigadores de seguridad han identificado una nueva variante de BeatBanker que se hace pasar por una aplicación falsa de StarLink y que tiene como objetivo a usuarios de Android. A diferencia de las versiones anteriores, esta variante no instala el componente troyano bancario tradicional.

En cambio, despliega el troyano de administración remota (RAT) BTMOB. BTMOB otorga a los atacantes acceso remoto completo a los dispositivos comprometidos y se distribuye como malware como servicio (MaaS), lo que permite a los ciberdelincuentes comprar e implementar la herramienta sin desarrollar su propia infraestructura de malware.

Vector de infección e impacto operativo

Las infecciones por BeatBanker suelen comenzar con una campaña de phishing que redirige a las víctimas a sitios web fraudulentos diseñados para imitar la tienda oficial de Google Play. Se persuade a los usuarios para que descarguen aplicaciones maliciosas que se hacen pasar por servicios gubernamentales, como 'INSS Reembolso' o aplicaciones de utilidad falsas similares.

Un dispositivo queda comprometido una vez que la víctima instala la aplicación falsificada. Tras su activación, BeatBanker obtiene componentes adicionales, incluido el minero de criptomonedas, y establece un acceso permanente al dispositivo.

Las capacidades combinadas de este malware permiten a los atacantes minar criptomonedas, robar datos financieros, manipular transacciones y mantener el control remoto de los dispositivos infectados. Algunas variantes también implementan malware adicional, como BTMOB, lo que otorga a los adversarios acceso prolongado e ilimitado a los sistemas comprometidos.

Tendencias

Mas Visto

Cargando...