Repéré par Kaspersky, BeatBanker combine accès distant, vol de données, minage de cryptomonnaie… et lecture MP3 en boucle pour rester actif en arrière-plan.
Les chercheurs de Kaspersky ont identifié une campagne Android reposant sur l’usurpation visuelle du Google Play Store. Les internautes y sont invités à télécharger ce qui ressemble à une application liée à Starlink, le service d’accès à Internet par satellite développé par SpaceX. Le fichier proposé est en réalité un APK malveillant qui installe BeatBanker sur l’appareil. Une fois actif, ce malware peut surveiller l’activité du téléphone, récupérer différentes informations sensibles et exploiter ses ressources pour miner de la cryptomonnaie.
Un malware conçu pour surveiller et contrôler l’appareil
Avant d'activer ses fonctionnalités malveillantes, BeatBanker procède d’abord à plusieurs vérifications de l’environnement dans lequel il s’exécute afin de détecter d’éventuels outils d’analyse. Si ces contrôles sont validés, l’application affiche un faux écran de mise à jour du Play Store dans le but d'obtenir les autorisations nécessaires à l’installation de composants supplémentaires.
Les premières versions du malware embarquaient un module de trojan bancaire capable de récupérer des identifiants et d’interférer avec certaines transactions en cryptomonnaies. Les variantes les plus récentes observées par Kaspersky privilégient désormais l’installation de BTMOB RAT, un outil d’accès distant qui permet aux opérateurs de surveiller l’activité du téléphone et de récupérer des informations directement sur l’appareil, notamment via l’enregistrement des frappes clavier, la capture d’écran, l’accès à la caméra ou encore le suivi de la position GPS.
BeatBanker exploite également les ressources du smartphone pour miner de la cryptomonnaie à l’aide d’une version modifiée du logiciel de minage XMRig, configurée pour générer du Monero.
Fait plus surprenant, le malware utilise aussi une méthode inattendue pour rester actif. Selon les chercheurs de Kaspersky, il lit en continu un court fichier MP3 presque inaudible, pour empêcher Android de suspendre le processus pour inactivité.
Une campagne qui pourrait s’étendre
Les infections observées jusqu’à présent concernent principalement des internautes au Brésil, mais les infrastructures utilisées et la méthode de diffusion pourraient facilement être adaptées à d’autres pays si l’opération s’avère rentable.
Par conséquent, comme toujours, faites extrêmement attention aux sites sur lesquels vous téléchargez vos applications sur Android. Si vous passez par le Play Store, faites-le depuis l’application officielle de Google et non depuis un site web, au risque de tomber sur une copie malveillante.
De manière générale, privilégiez les applications distribuées via la boutique officielle plutôt que les fichiers APK téléchargés sur des sites tiers. Vérifiez aussi systématiquement le nom de l’éditeur et le site web associé sur la page du Play Store.
Soyez également vigilant face aux applications fraîchement installées qui demandent immédiatement une mise à jour ou des autorisations supplémentaires, un comportement très rare pour une application légitime.
Enfin, ne désactivez jamais Play Protect et n’accordez pas d’accès aux services d’accessibilité Android à des applications téléchargées en dehors d’antivirus reconnus.
Source : Securelist
Un APK est le paquet d’installation d’une application Android. Lorsqu’il est téléchargé en dehors du Play Store, il échappe aux contrôles de sécurité appliqués par Google, comme l’analyse automatique des fichiers, la réputation du développeur ou la détection de comportements suspects. Les sites qui imitent le Play Store peuvent ainsi pousser des APK modifiés ou signés par un acteur malveillant, sans que l’utilisateur ait de repère fiable. Une fois installé, ce type d’application peut demander des autorisations sensibles (SMS, accessibilité, affichage par-dessus d’autres apps) qui facilitent le vol de données ou la prise de contrôle de l’appareil. Ce canal est aussi régulièrement utilisé pour distribuer de fausses mises à jour qui installent ensuite d’autres composants malveillants.
Qu’est-ce qu’un RAT (Remote Access Trojan) sur Android, et en quoi est-ce plus dangereux qu’un simple spyware ?Un RAT est un cheval de Troie d’accès distant qui permet à un attaquant de contrôler un appareil compromis presque comme s’il l’avait physiquement en main. Contrairement à un simple spyware, qui se contente généralement de collecter des données, un RAT peut exécuter des commandes à distance, récupérer des fichiers, déclencher des captures d’écran, accéder à la caméra ou au microphone (selon les autorisations accordées) ou encore surveiller les frappes au clavier. Cette capacité de pilotage permet d’adapter l’attaque en temps réel, par exemple pour contourner une authentification ou interagir directement avec d’autres applications. Sur Android, ces malwares s’appuient souvent sur des autorisations à haut risque, notamment les services d’accessibilité, pour automatiser des actions dans l’interface du système.
Comment un malware peut-il rester actif en arrière-plan grâce à la lecture audio, malgré les restrictions d’Android ?Android limite fortement l’activité des applications en arrière-plan afin de préserver la batterie et les ressources du téléphone. Certaines activités sont toutefois considérées comme légitimes par le système, notamment la lecture audio. Une application qui diffuse du son peut ainsi maintenir un service actif au premier plan via une notification, ce qui réduit les chances d’être suspendue automatiquement par le système. En jouant un fichier audio presque inaudible en boucle, un malware peut exploiter ce comportement pour maintenir son processus actif plus longtemps. Cette technique vise surtout à garantir la persistance du code malveillant, qu’il s’agisse de surveiller l’appareil, recevoir des commandes à distance ou exécuter d’autres fonctions comme le minage de cryptomonnaie.
