{"id":24810,"date":"2026-03-13T14:40:48","date_gmt":"2026-03-13T17:40:48","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24810"},"modified":"2026-03-19T10:17:27","modified_gmt":"2026-03-19T13:17:27","slug":"beatbanker-btmob-android-malware-disguised-starlink-inss-reembolso","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/beatbanker-btmob-android-malware-disguised-starlink-inss-reembolso\/24810\/","title":{"rendered":"O trojan para Android que simula servi\u00e7os governamentais e aplicativos da Starlink"},"content":{"rendered":"

Para conseguir concretizar seus planos ardilosos, os desenvolvedores de malware para Android precisam enfrentar v\u00e1rios desafios sucessivos: enganar os usu\u00e1rios para invadir o smartphone, burlar os softwares de seguran\u00e7a, convencer as v\u00edtimas a conceder v\u00e1rias permiss\u00f5es do sistema, manter a dist\u00e2ncia de otimizadores de bateria integrados que consomem muitos recursos e, depois de tudo isso, ter a certeza de que o malware realmente gera lucro. Os criadores do BeatBanker, uma campanha de malware baseado em\u2011Android descoberta recentemente por nossos especialistas, desenvolveram algo novo para cada uma dessas etapas. O ataque \u00e9 voltado, por enquanto, para usu\u00e1rios brasileiros, mas as ambi\u00e7\u00f5es dos desenvolvedores quase certamente motivar\u00e1 uma expans\u00e3o internacional, ent\u00e3o, vale a pena permanecer em alerta e estudar os truques do agente da amea\u00e7a. \u00c9 poss\u00edvel encontrar uma an\u00e1lise t\u00e9cnica completa do malware na Securelist<\/a>.<\/p>\n

Como o BeatBanker se infiltra em um smartphone<\/h2>\n

O malware \u00e9 distribu\u00eddo por p\u00e1ginas de phishing especialmente criadas que imitam a Google Play Store. Uma p\u00e1gina facilmente confundida com o Marketplace oficial convida os usu\u00e1rios a baixar um aplicativo aparentemente \u00fatil. Em uma campanha, o trojan se disfar\u00e7ou como o aplicativo de servi\u00e7os do governo brasileiro, o INSS Reembolso. Em outra, ele se apresentava como um aplicativo da Starlink.<\/p>\n

\"\"

O site malicioso cupomgratisfood{.}shop faz um excelente trabalho ao imitar uma loja de aplicativos. N\u00e3o est\u00e1 claro por que o aplicativo INSS Reembolso falso aparece todas as tr\u00eas vezes. Para transparecer mais credibilidade, talvez?!<\/p><\/div>\n

A instala\u00e7\u00e3o ocorre em v\u00e1rias etapas para evitar a solicita\u00e7\u00e3o de muitas permiss\u00f5es ao mesmo tempo e para acalmar ainda mais a v\u00edtima. Depois que o primeiro aplicativo \u00e9 baixado e iniciado, ele exibe uma interface que tamb\u00e9m se assemelha ao Google Play e simula uma atualiza\u00e7\u00e3o para o aplicativo falso, ao solicitar a permiss\u00e3o do usu\u00e1rio para instalar aplicativos, algo que n\u00e3o parece fora do comum no contexto. Se essa permiss\u00e3o for concedida, o malware baixar\u00e1 m\u00f3dulos maliciosos adicionais no smartphone.<\/p>\n

\"\"

Ap\u00f3s a instala\u00e7\u00e3o, o trojan simula uma atualiza\u00e7\u00e3o do aplicativo chamariz via Google Play ao solicitar permiss\u00e3o para instalar aplicativos enquanto baixa m\u00f3dulos maliciosos adicionais no processo<\/p><\/div>\n

Todos os componentes do trojan s\u00e3o criptografados. Antes de descriptografar e prosseguir para os pr\u00f3ximos est\u00e1gios da infec\u00e7\u00e3o, ele verifica se o smartphone \u00e9 real e se ele est\u00e1 no pa\u00eds de destino. O BeatBanker encerra imediatamente o pr\u00f3prio processo se encontrar discrep\u00e2ncias ou detectar que est\u00e1 sendo executado em ambientes emulados ou de an\u00e1lise. Isso complica a an\u00e1lise din\u00e2mica do malware. Ali\u00e1s, o falso downloader de atualiza\u00e7\u00f5es injeta m\u00f3dulos diretamente na RAM para evitar a cria\u00e7\u00e3o de arquivos no smartphone que seriam vis\u00edveis ao software de seguran\u00e7a.<\/p>\n

Todos esses truques n\u00e3o s\u00e3o novidade e s\u00e3o frequentemente usados em malwares complexos para computadores desktop. No entanto, para smartphones, essa sofistica\u00e7\u00e3o ainda \u00e9 uma raridade, e nem todas as ferramentas de seguran\u00e7a conseguir\u00e3o detectar isso. Usu\u00e1rios de produtos da Kaspersky<\/a> est\u00e3o protegidos contra essa amea\u00e7a.<\/p>\n

Reprodu\u00e7\u00e3o de \u00e1udio como um escudo<\/h2>\n

Uma vez estabelecido no smartphone, o BeatBanker baixa um m\u00f3dulo para minerar a criptomoeda Monero. Os autores estavam muito preocupados com a possibilidade dos sistemas agressivos de otimiza\u00e7\u00e3o de bateria do smartphone desligarem o minerador, ent\u00e3o eles criaram um truque: tocar um som quase inaud\u00edvel o tempo todo. Os sistemas de controle de consumo de energia normalmente poupam os aplicativos que est\u00e3o reproduzindo \u00e1udio ou v\u00eddeo para evitar cortar a m\u00fasica de fundo ou os players de podcast. Dessa forma, o malware pode ser executado continuamente. Al\u00e9m disso, ele exibe uma notifica\u00e7\u00e3o persistente na barra de status para solicitar ao usu\u00e1rio que mantenha o telefone ligado para uma atualiza\u00e7\u00e3o do sistema.<\/p>\n

\"\"

Exemplo de uma notifica\u00e7\u00e3o de atualiza\u00e7\u00e3o persistente do sistema de outro aplicativo malicioso disfar\u00e7ado como um aplicativo da Starlink<\/p><\/div>\n

Controle via Google<\/h2>\n

Para gerenciar o trojan, os autores utilizam o Firebase Cloud Messaging (FCM) leg\u00edtimo do Google, um sistema para receber notifica\u00e7\u00f5es e enviar dados de um smartphone. Esse recurso est\u00e1 dispon\u00edvel para todos os aplicativos e \u00e9 o m\u00e9todo mais popular para enviar e receber dados. Gra\u00e7as ao FCM, os invasores podem monitorar o status do dispositivo e alterar as configura\u00e7\u00f5es de acordo com suas necessidades.<\/p>\n

N\u00e3o acontecer\u00e1 nada durante um tempo, depois que o malware for instalado, os invasores esperam pacientemente. Ent\u00e3o, eles acionam o minerador, mas com o cuidado de reduzir a intensidade, se o telefone superaquecer, a bateria come\u00e7ar a descarregar ou o propriet\u00e1rio estiver usando o dispositivo. Tudo isso \u00e9 feito via FCM.<\/p>\n

Roubo e espionagem<\/h2>\n

Al\u00e9m do minerador de criptomoedas, o BeatBanker instala m\u00f3dulos extras para espionar o usu\u00e1rio e realizar o roubo no momento certo. O m\u00f3dulo de spyware solicita a permiss\u00e3o dos Servi\u00e7os de Acessibilidade, e se ela for concedida, o monitoramento de tudo o que estiver acontecendo no smartphone come\u00e7a.<\/p>\n

Se o propriet\u00e1rio abrir o aplicativo Binance ou Trust Wallet para enviar USDT, o malware sobrep\u00f5e uma tela falsa na parte superior da interface da carteira ao trocar efetivamente o endere\u00e7o do destinat\u00e1rio pelo seu pr\u00f3prio endere\u00e7o. Todas as transfer\u00eancias v\u00e3o para os golpistas.<\/p>\n

O trojan possui um sistema de controle remoto avan\u00e7ado e \u00e9 capaz de executar muitos outros comandos:<\/p>\n