¿Escuchas susurros de un hombre chino en tu teléfono? El troyano BeatBanker intenta desesperadamente mantenerse en segundo plano
Las artimañas que usan los hackers para acceder al dinero ajeno
Los analistas del Laboratorio Kaspersky detectaron una aplicación para Android llamada BeatBanker, que se hace pasar por la aplicación de Internet satelital Starlink. Los atacantes distribuyen el archivo a través de sitios que imitan la tienda oficial Google Play. Tras la instalación, la aplicación obtiene acceso al dispositivo y puede ejecutar todo un conjunto de acciones maliciosas: desde el robo de datos hasta la minería oculta de criptomonedas.
BeatBanker está dirigido a usuarios de Brasil y combina funciones de troyano bancario y de herramienta para la minería de la criptomoneda Monero. El malware puede interceptar credenciales, interferir en transacciones de criptomonedas y usar los recursos del teléfono inteligente para minar.
El archivo APK contiene bibliotecas nativas que descifran código oculto y lo cargan directamente en la memoria del dispositivo. Este enfoque ayuda a eludir los mecanismos de protección. Antes de ejecutarse, la aplicación verifica el entorno para asegurarse de que no está siendo analizada. Si la comprobación es satisfactoria, el usuario ve una ventana falsa de actualización de Google Play. El mensaje induce al usuario a otorgar los permisos necesarios para descargar componentes adicionales.
En versiones tempranas BeatBanker operaba exclusivamente como troyano bancario; sin embargo, muestras más recientes incorporan el troyano remoto BTMOB RAT. Esta herramienta proporciona control total del teléfono inteligente. Los operadores pueden registrar pulsaciones de teclas, tomar capturas de pantalla, activar la cámara, rastrear la geolocalización e interceptar credenciales.
Los autores del malware emplearon un mecanismo bastante llamativo para persistir en el sistema. El servicio KeepAliveServiceMediaPlayback reproduce de forma continua una grabación de audio de cinco segundos con voz en chino, casi inaudible, desde el archivo output8.mp3. La reproducción constante mantiene el proceso activo y evita que el sistema finalice el servicio por inactividad.
BeatBanker también ejecuta una versión modificada del minero XMRig 6.17.0, compilada para dispositivos basados en ARM. La aplicación se conecta a pools de minería a través de conexiones TLS seguras. Si la dirección principal deja de estar disponible, se utiliza un servidor proxy de respaldo.
El malware supervisa atentamente el estado del teléfono inteligente. A través del servicio Firebase Cloud Messaging, el servidor de control recibe información sobre la temperatura del dispositivo, el nivel de carga de la batería, la actividad del usuario y el estado de carga. La minería se inicia solo en condiciones adecuadas y se detiene automáticamente durante el uso activo del teléfono. Este enfoque reduce la carga y ayuda a que la actividad maliciosa pase más tiempo sin ser detectada.
Además de la aplicación Starlink, el malware también se hacía pasar por un servicio local brasileño — INSS Reembolso. Hasta ahora las infecciones se han registrado solo en Brasil, aunque el éxito del esquema podría provocar la propagación del malware a otros países.