【安全资讯】新型BeatBanker安卓恶意软件伪装星链应用劫持设备

概要：

网络安全威胁持续演变，移动设备成为攻击者的新目标。近期，一款名为BeatBanker的新型安卓恶意软件被发现，它通过伪装成星链（Starlink）应用和假冒的Google Play商店网站进行传播。该恶意软件不仅具备银行木马功能，还能进行门罗币挖矿，对用户隐私和资产安全构成严重威胁，尤其针对巴西用户发起攻击。

主要内容：

BeatBanker恶意软件通过APK文件分发，利用原生库解密并直接将隐藏的DEX代码加载到内存中，以规避检测。在启动前，它会进行环境检查，确认未被分析后，会显示伪造的Play商店更新界面，诱骗受害者授予安装额外负载的权限。安装后，恶意软件会延迟执行恶意操作，以避免触发警报。

该恶意软件的一个显著特点是其独特的持久化机制。它通过名为output8.mp3的MP3文件持续播放一段几乎听不见的5秒中文语音录音。KeepAliveServiceMediaPlayback组件通过MediaPlayer启动不间断播放来确保服务持续运行，利用通知保持前台服务活跃，防止系统因不活动而暂停或终止进程。

BeatBanker集成了修改版的XMRig 6.17.0矿工，专为ARM设备编译，可在安卓设备上挖掘门罗币。矿工使用加密的TLS连接连接到攻击者控制的矿池，并在主地址失败时回退到代理。恶意软件通过Firebase Cloud Messaging (FCM)持续向命令与控制（C2）服务器发送设备电池电量、温度、充电状态、使用活动及是否过热等信息，使操作者能够根据设备条件动态启停挖矿活动，以保持隐蔽。

此外，BeatBanker的最新版本还部署了名为BTMOB RAT的商品化安卓远程访问木马，取代了原有的银行模块。BTMOB RAT为操作者提供完整的设备控制、键盘记录、屏幕录制、摄像头访问、GPS跟踪和凭证窃取能力。虽然目前所有感染均发生在巴西，但如果被证明有效，该恶意软件可能会扩展到其他国家。专家建议用户保持警惕，仅从官方应用商店安装应用，并定期进行安全扫描。