卡巴斯基发现伪装成星链应用的新型安卓恶意软件活动

卡巴斯基全球研究与分析团队（GReAT）发现了一起新的安卓恶意软件攻击活动。网络犯罪分子伪装成安卓版星链应用，分发BeatBanker木马。攻击者主要针对巴西用户。不过，卡巴斯基专家不排除其他国家的用户也可能面临这一威胁。该木马使用了一个门罗币加密货币挖矿程序，并在受感染的设备上额外安装了一个BTMOB远程管理工具（RAT）。为了保持其持久性，BeatBanker使用了一种不常见的机制，涉及一个几乎听不见的循环音频文件。

“最初，我们发现BeatBanker伪装成公共服务应用进行传播；它除了安装加密货币挖矿程序外，还会植入银行木马。但是，我们最近的检测工作发现了一个新的活动，其中包含另一个BeatBanker变种，它部署的是BTMOB远程管理工具（RAT），而不是银行木马模块。攻击者似乎正在利用星链应用作为新的诱饵，以吸引更多来自不同国家的受害者。因此，用户必须保持警惕，并使用先进的解决方案来保护他们的智能手机，”卡巴斯基全球研究与分析团队每周和欧洲负责人Fabio Assolini评论说。

初始感染途径

卡巴斯基专家认为，网络犯罪分子通过模仿Google Play商店的网络钓鱼页面，传播含有BeatBanker木马的虚假星链应用程序。该木马在受感染设备上运行后，会显示一个同样模仿Google Play的用户界面。网络犯罪分子诱骗受害者授予安装权限，从而允许下载其他隐藏的恶意有效载荷。   

加密货币挖矿和BTMOB 远程访问工具模块

当用户在伪造的 Google Play 页面上点击“更新”按钮时，一个门罗币（Monero）挖矿程序便会被部署。BeatBanker能够监测受感染智能手机的电池百分比和温度，并根据用户活动情况启动或停止隐蔽运行的加密货币挖矿程序。

该安卓木马还会在受感染设备上安装BTMOB远程控制木马（RAT）。BTMOB以恶意软件即服务的形式出售，可实现对设备的完全远程控制。该恶意软件能够自动获取权限、隐藏系统通知，并具备窃取屏幕锁凭证（包括被入侵设备上的PIN码、图案锁和密码）的机制。该恶意软件还允许网络犯罪分子访问前后摄像头、监控GPS位置，并持续收集敏感数据。

为了确保程序的持久性并阻止卸载，BeatBanker 会在前台保持一个固定通知，并启动一个带有静音媒体播放功能的前台服务。此策略旨在防止操作系统移除该恶意进程。

卡巴斯基产品将这种威胁检测为：HEUR:Trojan-Dropper.AndroidOS.BeatBanker 和HEUR:Trojan-Dropper.AndroidOS.Banker*。

更多详细信息，请参阅Securelist上的博文。

为了防范移动威胁，卡巴斯基建议采取以下措施：

·仅从智能手机的官方应用商店下载应用程序，例如苹果应用商店和Google Play，但请注意，即使从官方商店下载也并非完全没有风险。

·下载应用前务必查看用户评价，仅通过官方网站链接获取应用，并安装可靠的安全软件（如卡巴斯基优选版），这类软件能在应用存在欺诈行为时及时检测并拦截恶意活动。

·仔细检查应用权，在使用应用时务必审慎授权，特别是对无障碍服务等高危权限更需保持警惕。

·及时更新操作系统及重要应用程序。多数安全隐患可通过安装软件更新版本得到有效解决。

关于全球研究与分析团队

全球研究与分析团队（GReAT）成立于 2008 年，是卡巴斯基的核心部门，负责揭露 APT、网络间谍活动、重大恶意软件、勒索软件和全球地下网络犯罪趋势。目前，GReAT 由 35 多名专家组成，他们在欧洲、俄罗斯、美洲、亚洲和中东等全球范围内工作。这些才华横溢的安全专业人员为公司的反恶意软件研究和创新发挥着领导作用，他们以无与伦比的专业知识、热情和好奇心致力于发现和分析网络威胁。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止，卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务，为全球的个人用户、企业、关键基础设施和政府提供安全保护。该公司全面的安全产品组合包括领先的个人设备数字生活保护、面向企业的专业安全产品和服务，以及用于对抗复杂且不断演变的数字威胁的网络免疫解决方案。我们为数百万个人用户及近20万企业客户守护他们最珍视的数字资产。要了解更多详情，请访问www.kaspersky.com。