Especialistas da Kaspersky que analisaram o malware afirmam que ele infecta smartphones Android para controlar dispositivos, minerar criptomoedas e roubar dinheiro de vítimas
A Kaspersky anuncia a descoberta do BeatBanker, um sofisticado trojan bancário que mira celulares Android e que tem como alvo principal cidadãos brasileiros. Já foram encontradas três campanha diferentes disseminando essa ameaça: um golpe oferecendo reembolso do INSS, outro com o ressarcimento do FGC e a mais recente é uma isca que usa um app falso disfarçado de Starlink. O BeatBanker opera uma campanha multifacetada, capaz de minerar criptomoedas secretamente, roubar credenciais bancárias e, em suas versões mais recentes, evoluiu para um trojan de acesso remoto (RAT em inglês), que permite controlar o dispositivo e realizar fraude popularmente chamadas de Golpe da Mão Fantasma. Veja abaixo mais detalhes de seu funcionamento e como se proteger.
O ataque do BeatBanker se inicia com campanhas de envios de links falsos, em que vítimas são enganadas para baixar aplicativos maliciosos de sites que imitam a Google Play Store. Mais recentemente, a Kaspersky detectou um aplicativo fraudulento da Starlink sendo explorado em campanhas maliciosas e, ainda este ano, encontrou golpes com o mesmo trojan disfarçado como aplicativo de falso reembolso do INSS e do ressarcimento do FGC. A estratégia é sempre explorar a confiança do usuário em serviços governamentais ou de marcas populares e desejadas.
Uma vez instalado, o BeatBanker emprega táticas engenhosas para garantir sua persistência no dispositivo e, acima de tudo, evitar ser detectado. Um dos mecanismos é a reprodução contínua de um arquivo de áudio quase inaudível, simulando o uso ativo do dispositivo e impedindo que o sistema operacional o encerre ou o coloque em estado de suspensão por inatividade, garantindo que o trojan permaneça ativo por longos períodos.
Além disso, também para se manter oculto e operar sem levantar suspeitas, o programa malicioso monitora engenhosamente o uso do dispositivo, o nível e a temperatura da bateria. Essa vigilância permite que ele ajuste suas operações para não sobrecarregar o aparelho, um sinal que poderia alertar o usuário ou o sistema. Ele também envia comandos usando o sistema legítimo do Google, misturando essas mensagens com o tráfego normal do aparelho, dificultando sua detecção por ferramentas de segurança e pelo próprio usuário.
O BeatBanker pode explorar o aparelho da vítima de diversas formas, visando adquirir vantagens financeiras. Por exemplo, atua como um minerador de criptomoedas, drenando discretamente os recursos do dispositivo para minerar a criptomoeda Monero (XMR) para o golpista. Isso resulta em superaquecimento, consumo excessivo de bateria e degradação do desempenho do aparelho.
Ainda, ao detectar uma tentativa de transação de alguns aplicativos financeiros, o BeatBanker sobrepõe à tela de confirmação da instituição com uma página falsa altamente realista. Dessa forma, secretamente, substitui o endereço de destino da transação pelo endereço dos cibercriminosos, redirecionando o dinheiro para o fraudador, sem o conhecimento da vítima.
A Kaspersky observou uma evolução deste trojan bancário que, devido ao controle total sobre o aparelho, oferece funcionalidades intrusivas abrangentes aos cibercriminosos, incluindo: registro de teclas (keylogging) em tempo real, acesso e gravação de áudio e vídeo através das câmeras frontal e traseira, monitoramento de localização via GPS, captura de credenciais de bloqueio de tela (PINs, padrões, senhas), instalação silenciosa de aplicativos e controle total do dispositivo.
“O BeatBanker mostra como o cibercrime mobile está adotando uma abordagem cada vez mais profissional e modular. Em vez de um único objetivo, o malware combina diferentes formas de monetização no mesmo dispositivo comprometido, desde mineração de criptomoedas até fraude bancária e espionagem digital, permitindo que os criminosos escolham a estratégia mais lucrativa em cada vítima. Esse modelo híbrido aumenta significativamente o impacto das campanhas e reforça a necessidade de que usuários tratem seus smartphones com o mesmo nível de atenção à segurança que já dedicam aos computadores.”, avalia Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina e Europa.
Para se proteger contra o BeatBanker, a Kaspersky recomenda:
- Atenção redobrada aos links e mensagens: o link para estes sites que imitam o layout de lojas de aplicativo são a porta de entrada para o BeatBanker.
- Verifique nos canais oficiais: Antes de clicar em qualquer link, verifique se no site ou aplicativo oficial da empresa.
- Baixe aplicativos apenas em lojas oficiais para smartphones, como Apple App Store e Google Play, mas lembre-se de que nem mesmo baixar aplicativos em lojas oficiais é isenta de riscos.
- Nunca instale aplicativos de fontes desconhecidas. Para usuários de Android, é crucial desativar a função "instalar de fontes desconhecidas" nas configurações do seu aparelho.
- Tenha uma proteção no celular para evitar instalar app falsos – mesmo quando presentes nas lojas oficiais, como o Kaspersky Premium. Ele é capaz de detectar e bloquear links maliciosos e a instalação de arquivos perigosos.
- Verifique as permissões dos aplicativos que você usa e pense cuidadosamente antes de permitir um aplicativo, especialmente quando se trata de permissões de alto risco, como Serviços de Acessibilidade.
- Atualize seu sistema operacional e os aplicativos importantes assim que as atualizações estiverem disponíveis. Muitos problemas de segurança podem ser resolvidos instalando versões atualizadas do software.
A Kaspersky continua monitorando o BeatBanker e suas variantes, fornecendo informações para proteger os usuários contra esta ameaça em evolução. Para mais informações técnicas sobre o trojan bancário, visite o blog da Kaspersky no Securelist.
