卡巴斯基發現偽裝成星鏈應用的新型安卓惡意軟件活動

卡巴斯基全球研究與分析團隊（GReAT）發現了一起新的安卓惡意軟件攻擊活動。網絡犯罪分子偽裝成安卓版星鏈應用，分發BeatBanker木馬。攻擊者主要針對巴西用戶。不過，卡巴斯基專家不排除其他國家的用戶也可能面臨這一威脅。該木馬使用了一個門羅幣加密貨幣挖礦程序，并在受感染的設備上額外安裝了一個BTMOB遠程管理工具（RAT）。為了保持其持久性，BeatBanker使用了一種不常見的機制，涉及一個幾乎聽不見的循環音頻文件。

“最初，我們發現BeatBanker偽裝成公共服務應用進行傳播；它除了安裝加密貨幣挖礦程序外，還會植入銀行木馬。但是，我們最近的檢測工作發現了一個新的活動，其中包含另一個BeatBanker變種，它部署的是BTMOB遠程管理工具（RAT），而不是銀行木馬模塊。攻擊者似乎正在利用星鏈應用作為新的誘餌，以吸引更多來自不同國家的受害者。因此，用戶必須保持警惕，并使用先進的解決方案來保護他們的智能手機，”卡巴斯基全球研究與分析團隊每周和歐洲負責人Fabio Assolini評論說。

初始感染途徑

卡巴斯基專家認為，網絡犯罪分子通過模仿Google Play商店的網絡釣魚頁面，傳播含有BeatBanker木馬的虛假星鏈應用程序。該木馬在受感染設備上運行后，會顯示一個同樣模仿Google Play的用戶界面。網絡犯罪分子誘騙受害者授予安裝權限，從而允許下載其他隱藏的惡意有效載荷。

加密貨幣挖礦和BTMOB 遠程訪問工具模塊

當用戶在偽造的 Google Play 頁面上點擊“更新”按鈕時，一個門羅幣（Monero）挖礦程序便會被部署。BeatBanker能夠監測受感染智能手機的電池百分比和溫度，并根據用戶活動情況啟動或停止隱蔽運行的加密貨幣挖礦程序。

該安卓木馬還會在受感染設備上安裝BTMOB遠程控制木馬（RAT）。BTMOB以惡意軟件即服務的形式出售，可實現對設備的完全遠程控制。該惡意軟件能夠自動獲取權限、隱藏系統通知，并具備竊取屏幕鎖憑證（包括被入侵設備上的PIN碼、圖案鎖和密碼）的機制。該惡意軟件還允許網絡犯罪分子訪問前后攝像頭、監控GPS位置，并持續收集敏感數據。

為了確保程序的持久性并阻止卸載，BeatBanker 會在前臺保持一個固定通知，并啟動一個帶有靜音媒體播放功能的前臺服務。此策略旨在防止操作系統移除該惡意進程。

卡巴斯基產品將這種威脅檢測為：HEUR:Trojan-Dropper.AndroidOS.BeatBanker和HEUR:Trojan-Dropper.AndroidOS.Banker*。

更多詳細信息，請參閱Securelist上的博文。

為了防范移動威脅，卡巴斯基建議采取以下措施：

·僅從智能手機的官方應用商店下載應用程序，例如蘋果應用商店和Google Play，但請注意，即使從官方商店下載也并非完全沒有風險。

·下載應用前務必查看用戶評價，僅通過官方網站鏈接獲取應用，并安裝可靠的安全軟件（如卡巴斯基優選版），這類軟件能在應用存在欺詐行為時及時檢測并攔截惡意活動。

·仔細檢查應用權，在使用應用時務必審慎授權，特別是對無障礙服務等高危權限更需保持警惕。

·及時更新操作系統及重要應用程序。多數安全隱患可通過安裝軟件更新版本得到有效解決。

關于全球研究與分析團隊

全球研究與分析團隊（GReAT）成立于 2008 年，是卡巴斯基的核心部門，負責揭露 APT、網絡間諜活動、重大惡意軟件、勒索軟件和全球地下網絡犯罪趨勢。目前，GReAT 由35多名專家組成，他們在歐洲、俄羅斯、美洲、亞洲和中東等全球范圍內工作。這些才華橫溢的安全專業人員為公司的反惡意軟件研究和創新發揮著領導作用，他們以無與倫比的專業知識、熱情和好奇心致力于發現和分析網絡威脅。

關于卡巴斯基

卡巴斯基是一家成立于1997年的全球網絡安全和數字隱私公司。迄今為止，卡巴斯基已保護超過十億臺設備免受新興網絡威脅和針對性攻擊。卡巴斯基不斷將深度威脅情報和安全技術轉化成創新的安全解決方案和服務，為全球的個人用戶、企業、關鍵基礎設施和政府提供安全保護。該公司全面的安全產品組合包括領先的個人設備數字生活保護、面向企業的專業安全產品和服務，以及用于對抗復雜且不斷演變的數字威脅的網絡免疫解決方案。我們為數百萬個人用戶及近20萬企業客戶守護他們最珍視的數字資產。要了解更多詳情，請訪問www.kaspersky.com。