Peneliti keamanan siber menemukan malware Android baru bernama BeatBanker yang menyamar sebagai aplikasi Starlink untuk menipu pengguna agar menginstalnya. Malware ini disebarkan melalui situs web yang dirancang menyerupai Google Play Store resmi.
Setelah terpasang, malware dapat mengambil alih perangkat korban, mencuri kredensial, serta memanipulasi transaksi cryptocurrency.
Penemuan ini dilaporkan oleh peneliti keamanan dari Kaspersky, yang mendeteksi kampanye serangan tersebut menargetkan pengguna Android di Brasil.
Menggabungkan Trojan Perbankan dan Penambang Kripto
BeatBanker awalnya dirancang sebagai banking trojan, namun malware ini juga memiliki kemampuan untuk menambang cryptocurrency Monero secara diam-diam di perangkat korban.
Selain itu, versi terbaru malware juga diketahui menyebarkan BTMOB RAT, sebuah trojan akses jarak jauh yang memberi penyerang kontrol penuh atas perangkat yang terinfeksi.
Dengan RAT tersebut, pelaku dapat melakukan berbagai aktivitas berbahaya, seperti:
- Mengakses kamera perangkat
- Melakukan perekaman layar
- Melacak lokasi GPS
- Menjalankan keylogger untuk merekam input pengguna
- Mencuri kredensial akun
Teknik Distribusi dan Penyembunyian Malware
BeatBanker didistribusikan dalam bentuk file APK yang memuat pustaka native untuk mendekripsi kode berbahaya yang disembunyikan dalam format DEX langsung di memori perangkat.
Sebelum menjalankan aktivitas berbahaya, malware melakukan serangkaian pemeriksaan lingkungan untuk memastikan aplikasi tidak sedang dianalisis oleh sistem keamanan.
Jika pemeriksaan berhasil dilewati, aplikasi akan menampilkan layar pembaruan Google Play palsu untuk meyakinkan korban agar memberikan izin tambahan yang diperlukan untuk menginstal payload tambahan.
Untuk menghindari kecurigaan, malware juga menunda aktivitas berbahaya selama beberapa waktu setelah instalasi.
Metode Persistensi yang Tidak Biasa
Salah satu teknik unik yang digunakan BeatBanker untuk mempertahankan keberadaannya di perangkat adalah memutar rekaman audio yang hampir tidak terdengar.
Malware ini menjalankan file MP3 bernama output8.mp3 yang berisi rekaman suara bahasa Mandarin berdurasi sekitar lima detik dan diputar secara berulang.
Metode ini digunakan untuk menjaga layanan malware tetap aktif di latar belakang melalui komponen KeepAliveServiceMediaPlayback, yang memanfaatkan pemutar media Android.
Dengan adanya aktivitas audio yang berjalan terus-menerus, sistem Android tidak akan menghentikan proses tersebut karena dianggap masih aktif digunakan.
Penambangan Kripto Secara Diam-Diam
BeatBanker juga menjalankan proses penambangan cryptocurrency menggunakan versi modifikasi dari XMRig 6.17.0 yang telah dikompilasi untuk perangkat ARM.
Perangkat korban akan menambang Monero dengan terhubung ke pool penambangan yang dikendalikan penyerang melalui koneksi terenkripsi TLS.
Untuk menjaga agar aktivitasnya tidak terdeteksi, malware memonitor kondisi perangkat secara terus-menerus menggunakan Firebase Cloud Messaging (FCM).
Informasi yang dipantau meliputi:
- Level baterai perangkat
- Suhu perangkat
- Status pengisian daya
- Aktivitas penggunaan perangkat
Malware dapat secara otomatis menghentikan proses penambangan saat perangkat sedang digunakan oleh pemiliknya atau ketika suhu perangkat meningkat, sehingga aktivitas berbahaya tetap tersembunyi.
Potensi Penyebaran Lebih Luas
Saat ini, seluruh infeksi BeatBanker yang teridentifikasi terjadi di Brasil. Namun peneliti memperingatkan bahwa malware ini berpotensi menyebar ke negara lain jika terbukti efektif dalam menghasilkan keuntungan bagi pelaku.
Untuk mengurangi risiko infeksi, pengguna Android disarankan untuk:
- Tidak menginstal APK dari sumber di luar Google Play Store resmi
- Memeriksa izin aplikasi sebelum menginstalnya
- Menghindari aplikasi yang meminta akses yang tidak relevan dengan fungsinya
- Melakukan pemindaian keamanan menggunakan Google Play Protect secara rutin
Langkah-langkah tersebut dapat membantu mencegah instalasi aplikasi berbahaya yang menyamar sebagai aplikasi resmi.