概要
BeatBankerは、ブラジルのユーザーを標的とした新しいAndroidマルウェアキャンペーンです。このキャンペーンは、銀行詐欺、暗号マイニング、そして最新の波では、完全なデバイスの取り締まりを可能にするRATを展開しています。
拡散方法
BeatBankerは、主にフィッシング攻撃を通じて拡散します。攻撃者は、Google Play ストアを模倣した偽のウェブサイトを使用し、ユーザーを偽のアプリやアップデートに誘導します。この偽のウェブサイトは、cupomgratisfood[.]shop というドメインでホストされています。
初期感染ベクトル
ユーザーが「インストール」ボタンを押すと、悪意のあるAPKがインストールされ、マルウェアは複数のステージにわたる感染を開始します。初期のAPKは、ネイティブライブラリ(libludwwiuh.so)を使用して、追加のELFとDEX コンポーネントをメモリ内で暗号化およびロードします。
暗号マイナーとC2
ユーザーが「更新」をクリックすると、BeatBankerは、アクセスやfud2026[.]comなどの攻撃者制御ドメインから暗号化されたマイニングペイロードを取得し、ファイル名のSHA-1 ハッシュから派生したキーを使用してデコードします。
最終的なペイロードは、Monero マイニングプールに接続するARM コンパイル済みのXMRig 6.17.0 マイナーです。このマイナーは、TLS とNiceHash 互換の設定を使用します。
BTMOB RAT
最近の波では、攻撃者は独自の銀行モジュールをBTMOB(CraxsRAT、CypherRAT、SpySolr から進化した強力なAndroid RAT)に置き換えました。BTMOBは、Googleの正当なFirebase Cloud Messaging (FCM) を悪用して、指令とテレメトリを受信します。
対策
- 公式ストアからのみアプリをインストールし、発行者を確認する。
- アクセシビリティと「未知のアプリのインストール」許可の要求を慎重に検討する。
- OSとモバイルセキュリティツールを最新の状態に保つ。
結論
BeatBankerは、モバイル脅威が現在、スパイシーなマイニング、金融詐欺、完全なリモート制御を組み合わせた単一の持続的なインプラントになっていることを示しています。
元記事: https://gbhackers.com/beatbanker-trojan-spreads-via-phishing/