Um malware, chamado BeatBanker, está mirando celulares Android no Brasil. O alerta foi publicado pela empresa de cibersegurança Kaspersky.
O BeatBanker se disfarça de aplicativo do INSS para enganar a vítima e, uma vez instalado, transforma o celular em uma ferramenta de mineração de criptomoedas, roubo bancário e espionagem.
smart_display
Nossos vídeos em destaque
O golpe começa antes do app ser instalado
Os criminosos criaram um site falso chamado cupomgratisfood[.]shop que imita visualmente a Google Play Store.
Nesse site está disponível um aplicativo chamado “INSS Reembolso”, que se apresenta como o portal oficial do Instituto Nacional do Seguro Social, um serviço usado para consultar benefícios, aposentadorias e documentos previdenciários.
Ao baixar o aplicativo, a vítima instala na verdade um Trojan, um tipo de malware que se disfarça de aplicativos legítimos.
Camadas e camadas de esconderijo
O arquivo instalado não carrega o vírus de forma direta. Ele vem empacotado em múltiplas camadas de proteção que dificultam a análise por pesquisadores e antivírus.
O código malicioso é carregado diretamente na memória do celular da vítima, sem gravar nada no armazenamento interno. A maioria dos antivírus móveis procura arquivos suspeitos no armazenamento.
Se o código só existe na memória temporária, ele se torna muito mais difícil de detectar.
O malware também verifica se está sendo analisado em um ambiente simulado. Pesquisadores de segurança costumam usar emuladores, programas que simulam um celular dentro de um computador, para estudar vírus com segurança.
Caso o BeatBanker detecte que está sendo observado dessa forma, ele encerra o próprio processo imediatamente.
O truque do áudio quase inaudível
Para garantir que o sistema operacional não encerre o processo malicioso, o vírus mantém um arquivo de áudio de cinco segundos tocando em loop contínuo, em volume quase imperceptível para a vítima. No Android, serviços que estão reproduzindo mídia ativa têm proteção especial contra encerramento forçado.
Isso porque, o sistema entende que interromper um áudio seria uma má experiência para o usuário. O malware explora exatamente essa política. O arquivo de áudio contém palavras em chinês, o que pode indicar a origem ou a inspiração dos criadores.
Além do áudio, uma notificação falsa de “atualização do sistema” fica fixada na barra de notificações do celular da vítima, dificultando ainda mais que o sistema operacional encerre o processo.
Minerador secreto de Monero
Quando a vítima toca no botão de atualização de uma tela falsa da Play Store exibida pelo malware, o BeatBanker baixa um minerador de criptomoedas. Mineração é o processo de resolver cálculos matemáticos complexos para validar transações em redes como o Monero (XMR), recebendo criptomoeda como recompensa. Aqui, o celular da vítima é usado sem qualquer consentimento, em benefício exclusivo dos criminosos.
Para não levantar suspeitas, o malware monitora a temperatura da bateria antes de minerar. Caso o aparelho esteja superaquecendo ou com bateria baixa, o minerador é pausado automaticamente.
Para enviar instruções aos celulares infectados, os criminosos usam o Firebase Cloud Messaging (FCM), um serviço legítimo e gratuito do Google utilizado por milhares de aplicativos para enviar notificações. Ao usar essa infraestrutura confiável, o tráfego malicioso se mistura com comunicações legítimas e passa despercebido por sistemas de segurança de rede.
O roubo de criptomoedas em tempo real
Além do minerador, o BeatBanker instala um módulo bancário que solicita à vítima as permissões de acessibilidade do Android, originalmente criadas para ajudar pessoas com deficiência a usar o celular com mais facilidade. Nas mãos do malware, essa permissão se torna uma ferramenta de controle total.
Quando detecta que a vítima está usando a Binance ou a Trust Wallet e está fazendo uma transferência de USDT, uma criptomoeda cujo valor é vinculado ao dólar americano, o malware age imediatamente.
Ele exibe uma tela falsa por cima do aplicativo real, visualmente idêntica à interface original, e substitui silenciosamente o endereço de destino pelo endereço controlado pelos criminosos. Transações em criptomoedas são irreversíveis. Quando a vítima percebe o problema, já é tarde.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
Versão mais recente vai além do banco
Nas amostras mais recentes, o módulo bancário foi substituído pelo BTMOB RAT, uma ferramenta de acesso remoto total vendida no modelo MaaS, Malware como Serviço.
Criminosos pagam para ter acesso à ferramenta da mesma forma que empresas pagam por softwares legítimos, o que significa que o BeatBanker pode estar sendo operado por diferentes grupos que simplesmente alugaram o BTMOB de seu criador.
Entre as capacidades da ferramenta estão gravação de tela em tempo real, captura de tudo que a vítima digita, acesso às câmeras e monitoramento de localização por GPS.
Como se proteger
A Kaspersky recomenda baixar aplicativos apenas da Google Play Store oficial, verificando sempre o nome do desenvolvedor. É essencial prestar atenção às permissões solicitadas pelos apps, especialmente as relacionadas a acessibilidade e instalação de pacotes de terceiros.
Manter o sistema operacional e o antivírus móvel atualizados continua sendo uma das formas mais eficazes de se proteger contra ameaças como essa.