O que é o BeatBanker e como ele age?
O BeatBanker é um novo malware focado no Brasil que tem causado preocupação entre especialistas em segurança. Este trojan utiliza um aplicativo falso do INSS chamado INSS Reembolso para atacar celulares Android, transformando os dispositivos em centros de mineração de criptomoedas e roubando dados pessoais das vítimas.
Como o malware se disfarça?
Os cibercriminosos por trás do BeatBanker não apenas criam aplicativos falsos, mas também emulam a Google Play Store através de uma página web fraudulenta chamada cupomgratisfood.shop. Esta abordagem enganosa faz com que os usuários acreditem estar baixando um aplicativo legítimo do INSS, quando na verdade estão instalando um trojan com múltiplas capacidades de extração de dados e instalação de malwares subsequentes.
Táticas de evasão do BeatBanker
Para escapar de detecção, o trojan utiliza inúmeras táticas sofisticadas. Sua execução ocorre diretamente na memória do celular, não deixando traços no armazenamento. Como antivírus mobile buscam arquivos suspeitos, não encontrarão nada. Além disso, o agente malicioso detecta se está em ambiente simulado, como uma máquina virtual, tática usada por pesquisadores para identificar e estudar vírus. Caso note estar sendo analisado, o malware encerra as atividades imediatamente.
Capacidades hackers do BeatBanker
Uma das táticas mais engenhosas do BeatBanker é tocar um áudio de cinco segundos em loop eterno, com volume baixíssimo. Isso garante que o processo continue ativo, pois o sistema operacional entende que interromper áudios seria ruim para o usuário. Uma notificação fake de atualização do sistema fica fixada nas notificações, levando para outras etapas de invasão.
Mineração de criptomoedas e roubo de dados
Ao clicar na notificação, o malware baixa um minerador de criptomoedas, que toma cuidado para não superaquecer o aparelho ou gastar demais a bateria. A comunicação com o servidor hacker é escondida entre comunicações legítimas do Firebase Cloud Messaging, da Google. O BeatBanker também instala um módulo bancário que pede permissões de acessibilidade para ganhar controle de todas as funções do celular.
BTMOB RAT: Acesso remoto vendido como serviço
Em outras versões, é entregue o BTMOB RAT, trojan de acesso remoto disponível para hackers como serviço (MaaS). Em outras palavras, o acesso ao seu celular é vendido para outros cibercriminosos. O malware é capaz de gravar a tela, o teclado (keylogging), as câmeras e a localização da vítima.
Como se proteger do BeatBanker
Para se proteger contra o BeatBanker e outros malwares similares, é fundamental baixar aplicativos apenas de fontes oficiais, como a Google Play Store. Mantenha seu sistema operacional e aplicativos sempre atualizados, utilize um antivírus confiável e fique atento a permissões suspeitas solicitadas por aplicativos. Além disso, evite clicar em links de fontes desconhecidas e mantenha-se informado sobre as últimas ameaças de segurança digital.