A Kaspersky anunciou a descoberta do BeatBanker, um sofisticado trojan bancário que mira celulares Android e que tem como alvo principal cidadãos brasileiros. A empresa disse que já foram encontradas três campanha diferentes disseminando essa ameaça: um golpe oferecendo reembolso do INSS, outro com o ressarcimento do FGC e a mais recente é uma isca que usa um app falso disfarçado de Starlink. 

O BeatBanker opera uma campanha multifacetada, capaz de minerar criptomoedas secretamente, roubar credenciais bancárias e, em suas versões mais recentes, evoluiu para um trojan de acesso remoto (RAT em inglês), que permite controlar o dispositivo e realizar fraude popularmente chamadas de Golpe da Mão Fantasma. Veja abaixo mais detalhes de seu funcionamento e como se proteger.

O ataque do BeatBanker se inicia com campanhas de envios de links falsos, em que vítimas são enganadas para baixar aplicativos maliciosos de sites que imitam a Google Play Store. Mais recentemente, a Kaspersky detectou um aplicativo fraudulento da Starlink sendo explorado em campanhas maliciosas e, ainda este ano, encontrou golpes com o mesmo trojan disfarçado como aplicativo de falso reembolso do INSS e do ressarcimento do FGC. A estratégia é sempre explorar a confiança do usuário em serviços governamentais ou de marcas populares e desejadas.
 

Uma vez instalado, o BeatBanker emprega táticas engenhosas para garantir sua persistência no dispositivo e, acima de tudo, evitar ser detectado. Um dos mecanismos é a reprodução contínua de um arquivo de áudio quase inaudível, simulando o uso ativo do dispositivo e impedindo que o sistema operacional o encerre ou o coloque em estado de suspensão por inatividade, garantindo que o trojan permaneça ativo por longos períodos.
 

Além disso, também para se manter oculto e operar sem levantar suspeitas, o programa malicioso monitora engenhosamente o uso do dispositivo, o nível e a temperatura da bateria. Essa vigilância permite que ele ajuste suas operações para não sobrecarregar o aparelho, um sinal que poderia alertar o usuário ou o sistema. Ele também envia comandos usando o sistema legítimo do Google, misturando essas mensagens com o tráfego normal do aparelho, dificultando sua detecção por ferramentas de segurança e pelo próprio usuário.
 

O BeatBanker pode explorar o aparelho da vítima de diversas formas, visando adquirir vantagens financeiras. Por exemplo, atua como um minerador de criptomoedas, drenando discretamente os recursos do dispositivo para minerar a criptomoeda Monero (XMR) para o golpista. Isso resulta em superaquecimento, consumo excessivo de bateria e degradação do desempenho do aparelho.
 

Ainda, ao detectar uma tentativa de transação de alguns aplicativos financeiros, o BeatBanker sobrepõe à tela de confirmação da instituição com uma página falsa altamente realista. Dessa forma, secretamente, substitui o endereço de destino da transação pelo endereço dos cibercriminosos, redirecionando o dinheiro para o fraudador, sem o conhecimento da vítima.
 

A Kaspersky observou uma evolução deste trojan bancário que, devido ao controle total sobre o aparelho, oferece funcionalidades intrusivas abrangentes aos cibercriminosos, incluindo: registro de teclas (keylogging) em tempo real, acesso e gravação de áudio e vídeo através das câmeras frontal e traseira, monitoramento de localização via GPS, captura de credenciais de bloqueio de tela (PINs, padrões, senhas), instalação silenciosa de aplicativos e controle total do dispositivo.
 

“O BeatBanker mostra como o cibercrime mobile está adotando uma abordagem cada vez mais profissional e modular. Em vez de um único objetivo, o malware combina diferentes formas de monetização no mesmo dispositivo comprometido, desde mineração de criptomoedas até fraude bancária e espionagem digital, permitindo que os criminosos escolham a estratégia mais lucrativa em cada vítima. Esse modelo híbrido aumenta significativamente o impacto das campanhas e reforça a necessidade de que usuários tratem seus smartphones com o mesmo nível de atenção à segurança que já dedicam aos computadores.”, avalia Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina e Europa.