Jak usunąć aplikację BeatBanker z urządzeń z systemem Android

Czym jest BeatBanker?

BeatBanker to złośliwe oprogramowanie dla systemu Android, rozprzestrzeniające się za pośrednictwem fałszywych stron internetowych udających sklep Google Play. Działa ono jako trojan bankowy, który przejmuje kontrolę nad urządzeniami i fałszuje wyświetlane ekrany, a także jako program do wydobywania kryptowalut. W przypadku wykrycia na urządzeniu BeatBanker należy jak najszybciej usunąć, aby zapobiec stratom finansowym i innym konsekwencjom.

Przegląd serwisu BeatBanker

Gdy złośliwe oprogramowanie BeatBanker uruchamia się po raz pierwszy, sprawdza podstawowe dane sieciowe, takie jak adres IP urządzenia, czy jest to telefon komórkowy, czy użytkownik korzysta z sieci VPN oraz inne powiązane informacje sieciowe. Zamiast zapisywać swój złośliwy kod w postaci plików w pamięci telefonu, BeatBanker ładuje go bezpośrednio do pamięci urządzenia.

Ponieważ na urządzeniu nie są zapisywane żadne pliki, aplikacjom zabezpieczającym trudniej jest wykryć BeatBanker. Co więcej, złośliwe oprogramowanie sprawdza, czy działa w środowisku testowym lub analitycznym (np. w emulatorze). Jeśli je wykryje, natychmiast się wyłącza, aby uniknąć analizy.

Następnie BeatBanker wyświetla fałszywą stronę przypominającą sklep Google Play dla aplikacji INSS Reembolso, informując o dostępnej aktualizacji. Gdy ofiara kliknie „Aktualizuj”, złośliwe oprogramowanie prosi o zgodę na instalację aplikacji i pobiera ukryte szkodliwe komponenty. Zamiast korzystać z prawdziwego sklepu Google Play, instaluje te pliki bezpośrednio, wykorzystując specjalne uprawnienia.

Aby pozostać aktywnym, złośliwe oprogramowanie wyświetla na ekranie fałszywe powiadomienie o aktualizacji systemu i uruchamia usługę działającą w tle z cichym odtwarzaniem multimediów, co uniemożliwia systemowi jej zatrzymanie. Ponadto, gdy ofiara kliknie przycisk „Aktualizuj” na fałszywym ekranie sklepu Google Play, złośliwe oprogramowanie potajemnie pobiera plik zawierający oprogramowanie do kopania kryptowalut.

Pobrany program do kopania kryptowalut (zmodyfikowana wersja XMRig) wykorzystuje procesor telefonu ofiary do wydobywania kryptowaluty na rzecz atakujących. BeatBanker może monitorować stan baterii telefonu, temperaturę urządzenia oraz aktywność użytkownika, aby zdecydować, kiedy uruchomić lub zatrzymać program do kopania kryptowalut.

Moduł bankowy

BeatBanker wykorzystuje trojana bankowego wraz z koparką kryptowalut. Próbuje nakłonić ofiarę do udzielenia uprawnień dostępu, co pozwala cyberprzestępcom przejąć kontrolę nad interfejsem urządzenia. Złośliwe oprogramowanie sprawdza, które aplikacje są otwarte, i atakuje Binance oraz Trust Wallet (koncentrując się na transakcjach w USDT).

Kiedy ofiara próbuje wysłać środki, na ekranie transakcji wyświetla się fałszywa strona, która potajemnie zmienia adres odbiorcy na adres sprawcy. Stosując takie techniki, cyberprzestępcy starają się przekonać ofiary, że wysyłają kryptowaluty na podany przez siebie adres, podczas gdy w rzeczywistości trafiają one do rąk cyberprzestępców.

Ponadto moduł bankowy BeatBanker sprawdza, czy zainstalowane są przeglądarki Brave, Chrome, Dolphin Browser, DuckDuckGo, Edge, Firefox, Opera i sBrowser. Następnie gromadzi informacje o stronach internetowych odwiedzanych przez ofiarę i umożliwia zarządzanie zapisanymi linkami w domyślnej przeglądarce (dodawanie, edycja, usuwanie, wyświetlanie listy) oraz otwieranie linków dostarczonych przez atakujących.

Obsługiwane polecenia

BeatBanker może odbierać polecenia z serwera C2 i wykonywać różne szkodliwe działania na zainfekowanym urządzeniu. Może wyświetlać fałszywe aktualizacje oprogramowania, blokować ekran, przechwytywać dane ze schowka, tworzyć listy nagrań audio (i wysyłać je cyberprzestępcom), otwierać linki w przeglądarkach, aktualizować dane logowania oraz wysyłać SMS-y.

Ponadto może skasować wszystkie dane (przywrócić ustawienia fabryczne), usunąć pliki lub samodzielnie się odinstalować. BeatBanker może również rejestrować wpisywane przez użytkownika znaki, odczytywać tekst z ekranu, robić zrzuty ekranu oraz transmitować obraz z ekranu w czasie rzeczywistym. Dodatkowo może monitorować aplikacje, blokować lub zezwalać na uruchamianie aplikacji za pomocą wbudowanej zapory sieciowej, wyświetlać stałe powiadomienia oraz sterować połączeniem VPN.

Należy pamiętać, że aplikacja BeatBanker może wymagać różnych uprawnień, takich jak dostęp do funkcji ułatwień dostępu, możliwość wyświetlania się nad innymi aplikacjami oraz zezwolenie na instalowanie aplikacji z nieznanych źródeł. Dzięki tym uprawnieniom aplikacja może automatycznie klikać lub przesuwać palcem po ekranie, otwierać linki, uruchamiać kody USSD oraz instalować dodatkowe aplikacje.

Nowy wariant

Pojawił się nowy wariant złośliwego oprogramowania BeatBanker, podszywający się pod fałszywą aplikację StarLink, który również atakuje użytkowników systemu Android. Ta wersja zawiera również koparkę kryptowalut, ale nie instaluje trojana bankowego. Zamiast tego umieszcza na urządzeniu trojana do zdalnego zarządzania (RAT) o nazwie BTMOB. BTMOB umożliwia atakującym pełną kontrolę nad zainfekowanymi urządzeniami i jest sprzedawany w ramach modelu Malware-as-a-Service (MaaS).

Wnioski

BeatBanker to złośliwe oprogramowanie dla systemu Android, które może służyć do wydobywania kryptowalut, kradzieży danych bankowych oraz umożliwia zdalne przejęcie kontroli nad urządzeniami. Wykorzystuje ono techniki utrwalające obecność w systemie oraz ukryte uprawnienia, aby pozostać niewykrytym podczas gromadzenia poufnych danych i monitorowania aktywności użytkownika. Niektóre wersje instalują również oprogramowanie BTMOB, zapewniając atakującym pełny dostęp i długotrwałą kontrolę nad zainfekowanymi urządzeniami.

Inne przykłady złośliwego oprogramowania atakującego urządzenia z systemem Android to Massiv, PromptSpy oraz Oblivion.

W jaki sposób BeatBanker przedostał się na moje urządzenie?

BeatBanker infekuje urządzenia za pośrednictwem fałszywej strony internetowej, która wygląda jak sklep Google Play. Użytkownicy są nakłaniani do zainstalowania złośliwej aplikacji podszywającej się pod INSS Reembolso lub inną fałszywą aplikację rządową. Urządzenie zostaje zainfekowane w momencie zainstalowania przez użytkownika fałszywej aplikacji. Po uruchomieniu BeatBanker pobiera dodatkowe komponenty, takie jak program do kopania kryptowalut.

Jak uniknąć zainstalowania złośliwego oprogramowania?

Dbaj o aktualność systemu operacyjnego i aplikacji oraz pobieraj oprogramowanie wyłącznie z zaufanych źródeł, takich jak oficjalne strony internetowe lub sklepy z aplikacjami. Zachowaj ostrożność w przypadku nieoczekiwanych wiadomości e-mail lub innych komunikatów i nie klikaj w linki ani nie otwieraj załączników, dopóki nie upewnisz się, że są one bezpieczne.

Podczas przeglądania stron internetowych nie klikaj wyskakujących okienek, reklam ani linków na podejrzanych stronach i odrzucaj prośby o zezwolenie na powiadomienia z witryn, które budzą wątpliwości. Regularnie skanuj swoje urządzenie za pomocą sprawdzonego oprogramowania zabezpieczającego, aby wykrywać i usuwać potencjalne zagrożenia.

Panel administracyjny serwisu BeatBanker (źródło: securelist.com):

Nakładki wyświetlane przez BeatBanker (źródło: securelist.com):

Szybkie menu:

• Wprowadzenie
• Jak usunąć historię przeglądania z przeglądarki Chrome?
• Jak wyłączyć powiadomienia w przeglądarce Chrome?
• Jak zresetować przeglądarkę Chrome?
• Jak usunąć historię przeglądania z przeglądarki Firefox?
• Jak wyłączyć powiadomienia w przeglądarce Firefox?
• Jak zresetować przeglądarkę Firefox?
• Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
• Jak uruchomić urządzenie z systemem Android w „trybie awaryjnym”?
• Jak sprawdzić zużycie baterii przez różne aplikacje?
• Jak sprawdzić zużycie danych przez różne aplikacje?
• Jak zainstalować najnowsze aktualizacje oprogramowania?
• Jak przywrócić system do ustawień fabrycznych?
• Jak wyłączyć aplikacje posiadające uprawnienia administratora?

Usuń historię przeglądania z przeglądarki Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz opcję „Historia” z rozwijanego menu.

Kliknij „Wyczyść dane przeglądania”, wybierz zakładkę „ZAAWANSOWANE”, wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie kliknij „Wyczyść dane”.

[Wróć do Spisu treści]

Wyłącz powiadomienia w przeglądarce Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz opcję „Ustawienia” z rozwijanego menu.

Przewiń w dół, aż pojawi się opcja „Ustawienia strony”, a następnie ją wybierz. Przewiń w dół, aż pojawi się opcja „Powiadomienia”, a następnie ją wybierz.

Znajdź strony internetowe, które wysyłają powiadomienia w przeglądarce, dotknij ich i kliknij „Wyczyść i zresetuj”. Spowoduje to cofnięcie uprawnień przyznanych tym stronom do wysyłania powiadomień. Jednak po ponownym odwiedzeniu tej samej strony może ona ponownie poprosić o uprawnienie. Możesz zdecydować, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, strona trafi do sekcji „Zablokowane” i nie będzie już prosić Cię o uprawnienia).

[Wróć do Spisu treści]

Zresetuj przeglądarkę Chrome:

Przejdź do sekcji „Ustawienia”, przewiń w dół, aż zobaczysz pozycję „Aplikacje”, a następnie ją wybierz.

Przewiń w dół, aż znajdziesz aplikację „Chrome”, wybierz ją i kliknij opcję „Pamięć”.

Kliknij „ZARZĄDZAJ PAMIĘCIĄ”, następnie „WYMAŻ WSZYSTKIE DANE” i potwierdź działanie, klikając „OK”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich zapisanych w niej danych. Oznacza to, że wszystkie zapisane loginy i hasła, historia przeglądania, niestandardowe ustawienia oraz inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się na wszystkich stronach internetowych.

[Wróć do Spisu treści]

Usuń historię przeglądania z przeglądarki Firefox:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz opcję „Historia” z rozwijanego menu.

Przewiń w dół, aż pojawi się opcja „Wyczyść dane prywatne”, a następnie ją wybierz. Wybierz typy danych, które chcesz usunąć, a następnie wybierz opcję „WYČYŚĆ DANE”.

[Wróć do Spisu treści]

Wyłącz powiadomienia przeglądarki w przeglądarce Firefox:

Wejdź na stronę, która wysyła powiadomienia w przeglądarce, dotknij ikony wyświetlanej po lewej stronie paska adresu (ikona ta niekoniecznie musi przedstawiać „Kłódkę”) i wybierz opcję „Edytuj ustawienia witryny”.

W wyświetlonym okienku wyboru zaznacz opcję „Powiadomienia” i naciśnij „WYMAŻ”.

[Wróć do Spisu treści]

Zresetuj przeglądarkę internetową Firefox:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz pozycję „Aplikacje”, a następnie ją wybierz.

Przewiń w dół, aż znajdziesz aplikację „Firefox”, wybierz ją i kliknij opcję „Pamięć”.

Naciśnij „WYMAŻ DANE” i potwierdź działanie, naciskając „USUŃ”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich zapisanych w niej danych. Oznacza to, że wszystkie zapisane loginy i hasła, historia przeglądania, niestandardowe ustawienia oraz inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się na wszystkich stronach internetowych.

[Wróć do Spisu treści]

Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz pozycję „Aplikacje”, a następnie ją wybierz.

Przewiń w dół, aż znajdziesz potencjalnie niechcianą lub złośliwą aplikację, zaznacz ją i kliknij „Odinstaluj”. Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawi się komunikat o błędzie), spróbuj skorzystać z „Trybu awaryjnego”.

[Wróć do Spisu treści]

Uruchom urządzenie z systemem Android w „trybie awaryjnym”:

Tryb „Tryb awaryjny” w systemie operacyjnym Android tymczasowo blokuje działanie wszystkich aplikacji innych producentów. Korzystanie z tego trybu to dobry sposób na zdiagnozowanie i rozwiązanie różnych problemów (np. usunięcie złośliwych aplikacji, które uniemożliwiają użytkownikom wykonanie tych czynności, gdy urządzenie działa w trybie „normalnym”).

Naciśnij przycisk „Zasilanie” i przytrzymaj go, aż pojawi się ekran „Wyłącz”. Naciśnij i przytrzymaj ikonę „Wyłącz”. Po kilku sekundach pojawi się opcja „Tryb awaryjny” i będzie można ją uruchomić poprzez ponowne uruchomienie urządzenia.

[Wróć do Spisu treści]

Sprawdź zużycie baterii przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz pozycję „Konserwacja urządzenia”, a następnie ją wybierz.

Kliknij „Bateria” i sprawdź zużycie energii przez poszczególne aplikacje. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, co ma na celu zapewnienie jak najlepszego komfortu użytkowania i oszczędzanie energii. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.

[Wróć do Spisu treści]

Sprawdź zużycie danych przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Połączenia”, a następnie naciśnij tę opcję.

Przewiń w dół, aż pojawi się pozycja „Zużycie danych”, a następnie wybierz tę opcję. Podobnie jak w przypadku baterii, legalne/oryginalne aplikacje są zaprojektowane tak, aby maksymalnie ograniczyć zużycie danych. Oznacza to, że nadmierne zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane tak, aby działały wyłącznie wtedy, gdy urządzenie jest podłączone do sieci bezprzewodowej. Z tego powodu należy sprawdzić zarówno zużycie danych komórkowych, jak i Wi-Fi.

Jeśli zauważysz, że jakaś aplikacja zużywa dużo danych, mimo że w ogóle z niej nie korzystasz, zdecydowanie zalecamy jak najszybsze jej odinstalowanie.

[Wróć do Spisu treści]

Zainstaluj najnowsze aktualizacje oprogramowania:

Dbanie o aktualność oprogramowania to dobra praktyka, jeśli chodzi o bezpieczeństwo urządzenia. Producenci urządzeń nieustannie wydają różne poprawki zabezpieczeń i aktualizacje systemu Android, aby naprawić błędy i usterki, które mogą zostać wykorzystane przez cyberprzestępców. Przestarzały system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.

Przejdź do „Ustawienia”, przewiń w dół, aż pojawi się pozycja „Aktualizacja oprogramowania”, a następnie ją wybierz.

Kliknij „Pobierz aktualizacje ręcznie” i sprawdź, czy są dostępne jakieś aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji „Pobieraj aktualizacje automatycznie” – dzięki temu system będzie Cię powiadamiał o wydaniu aktualizacji i/lub instalował je automatycznie.

[Wróć do Spisu treści]

Przywróć system do ustawień fabrycznych:

Wykonanie „Przywrócenia ustawień fabrycznych” to dobry sposób na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu oraz ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane przechowywane w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo i audio, numery telefonów (zapisane w pamięci urządzenia, a nie na karcie SIM), wiadomości SMS i tak dalej. Innymi słowy, urządzenie zostanie przywrócone do stanu fabrycznego.

Można również przywrócić podstawowe ustawienia systemowe lub tylko ustawienia sieciowe.

Przejdź do „Ustawienia”, przewiń w dół, aż pojawi się pozycja „Informacje o telefonie”, a następnie ją wybierz.

Przewiń w dół, aż pojawi się opcja „Resetuj”, a następnie ją wybierz. Teraz wybierz czynność, którą chcesz wykonać:
"Resetuj ustawienia” – przywróć wszystkie ustawienia systemowe do wartości domyślnych;
”Resetuj ustawienia sieciowe” – przywróć wszystkie ustawienia związane z siecią do wartości domyślnych;
”Przywróć ustawienia fabryczne” – zresetuj cały system i całkowicie usuń wszystkie zapisane dane;

[Wróć do Spisu treści]

Wyłącz aplikacje posiadające uprawnienia administratora:

Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić urządzeniu jak największe bezpieczeństwo, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia, i wyłączać te, które nie powinny ich mieć.

Przejdź do sekcji „Ustawienia”, przewiń w dół, aż zobaczysz pozycję „Ekran blokady i zabezpieczenia”, a następnie ją wybierz.

Przewiń w dół, aż pojawi się pozycja „Inne ustawienia zabezpieczeń”, dotknij jej, a następnie dotknij „Aplikacje administratora urządzenia”.

Znajdź aplikacje, które nie powinny mieć uprawnień administratora, dotknij ich, a następnie wybierz opcję „DEAKTYWUJ”.

Najczęściej zadawane pytania (FAQ)

Moje urządzenie zostało zainfekowane złośliwym oprogramowaniem BeatBanker. Czy powinienem sformatować nośnik danych, aby się go pozbyć?

Ta czynność spowoduje usunięcie aplikacji BeatBanker, ale spowoduje również skasowanie wszystkich danych z urządzenia, dlatego należy ją traktować wyłącznie jako ostateczność. Przed wykonaniem tej czynności zaleca się przeprowadzenie pełnego skanowania za pomocą sprawdzonego oprogramowania zabezpieczającego, takiego jak Combo Cleaner.

Jakie są największe problemy, jakie może powodować złośliwe oprogramowanie?

Złośliwe oprogramowanie może spowalniać działanie urządzenia, powodować awarie systemu, usuwać lub szyfrować pliki oraz instalować dodatkowe szkodliwe programy. Może również wykraść dane osobowe, zapewnić atakującym zdalny dostęp do systemu oraz wykonywać inne szkodliwe działania.

Jaki jest cel serwisu BeatBanker?

Celem programu BeatBanker jest kradzież kryptowalut, wydobywanie kryptowalut przy użyciu urządzenia ofiary oraz zapewnienie atakującym zdalnej kontroli nad zainfekowanym urządzeniem.

W jaki sposób BeatBanker przedostał się na moje urządzenie?

Program BeatBanker zazwyczaj przedostaje się do urządzenia, gdy użytkownik pobiera i instaluje fałszywą aplikację z nieoficjalnej strony internetowej sklepu Google Play. Aplikacje te często podszywają się pod legalne usługi i wykorzystują fałszywe aktualizacje, aby nakłonić użytkownika do udzielenia uprawnień. Po zainstalowaniu złośliwe oprogramowanie działa w tle i pobiera dodatkowe szkodliwe komponenty.

Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?

Tak, program Combo Cleaner potrafi wykrywać i usuwać wiele znanych rodzajów złośliwego oprogramowania. Niemniej jednak niektóre zaawansowane zagrożenia mogą ukrywać się głęboko w systemie, dlatego zaleca się przeprowadzenie pełnego skanowania systemu.