BeatBanker, noul malware de Android care se dă drept aplicație Starlink: cum îți poate prelua telefonul și mina criptomonede în secret
' fill='%23FBBC05' d='M0 37V11l17 13z'/%3e%3cpath clip-path='url(%23b)' fill='%23EA4335' d='M0 11l17 13 7-6.1L48 14V0H0z'/%3e%3cpath clip-path='url(%23b)' fill='%2334A853' d='M0 37l30-23 7.9 1L48 0v48H0z'/%3e%3cpath clip-path='url(%23b)' fill='%234285F4' d='M48 48L17 24l-4-3 35-10z'/%3e%3c/svg%3e){kind=small}
:format(webp)/https://playtech.ro/wp-content/uploads/2026/03/android-malware.jpg)
Amenințările pentru utilizatorii de Android devin tot mai sofisticate, iar noul caz BeatBanker arată foarte clar cât de repede pot evolua metodele folosite de atacatori. Cercetătorii Kaspersky au identificat această familie nouă de malware în campanii care au vizat în special utilizatori din Brazilia, iar una dintre cele mai periculoase trăsături ale sale este modul în care se ascunde: se prezintă drept o aplicație legitimă, inclusiv sub forma unei false aplicații Starlink, distribuită prin site-uri care imită magazinul oficial Google Play.
BeatBanker nu este un simplu troian bancar și nici doar un miner de criptomonede. Tocmai combinația dintre aceste două componente îl face atât de periculos. Malware-ul poate fura credențiale, poate interveni în tranzacții crypto, poate instala componente suplimentare și, în unele versiuni recente, poate chiar să ofere atacatorilor control aproape complet asupra dispozitivului infectat prin intermediul RAT-ului Android BTMOB.
Este genul de amenințare care spune multe despre direcția actuală a criminalității informatice pe mobil. Atacatorii nu mai caută doar un singur tip de profit. În loc să aleagă între furt de date bancare și minerit de Monero, încearcă să facă ambele lucruri simultan, maximizând câștigul și prelungind cât mai mult perioada în care rămân nedetectați pe dispozitiv.
Cum funcționează BeatBanker și de ce este atât de greu de observat
Potrivit analizei Kaspersky, BeatBanker este distribuit sub forma unui fișier APK instalat din afara magazinului oficial Google Play. Odată ajuns pe telefon, malware-ul folosește librării native pentru a decripta și încărca în memorie cod DEX ascuns, o tehnică menită să îngreuneze analiza și să evite detectarea simplă. Înainte să pornească efectiv partea malițioasă, verifică și mediul în care rulează, tocmai pentru a se asigura că nu este examinat într-un sandbox sau într-un mediu de cercetare.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1748332487/988b32e6b4a85fcc8564ddf591c41bbe-t.jpg)
După aceste verificări, victima vede un fals ecran de actualizare Play Store, construit special pentru a o convinge să ofere permisiuni suplimentare. Este una dintre cele mai eficiente tactici din astfel de campanii: interfața pare familiară, mesajul pare legitim, iar utilizatorul are impresia că doar aprobă o actualizare de rutină. În realitate, deschide poarta pentru instalarea altor componente periculoase.
Un alt detaliu remarcabil este că BeatBanker nu începe imediat activitatea agresivă. Kaspersky spune că malware-ul întârzie deliberat o parte dintre operațiunile malițioase după instalare, tocmai pentru a nu ridica suspiciuni. Dacă telefonul începe instant să se comporte ciudat, utilizatorul poate bănui ceva. Dacă schimbările apar treptat, șansele ca infecția să treacă neobservată cresc considerabil.
Una dintre cele mai neobișnuite tehnici de persistență observate de cercetători este folosirea unui fișier MP3 aproape imperceptibil, numit output8.mp3, care redă în buclă un clip audio de aproximativ cinci secunde cu voce în chineză. Acest artificiu menține serviciul activ în prim-plan prin componenta KeepAliveServiceMediaPlayback și reduce riscul ca Android să suspende procesul din cauza inactivității. Cu alte cuvinte, malware-ul se ține „treaz” printr-un sunet aproape inaudibil.
:format(webp)/https://playtech.ro/wp-content/uploads/2025/12/hacker-crypto-1-316x158.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/malware-android-316x158.jpg)
Această idee poate părea bizară, dar este foarte eficientă. În loc să folosească o metodă clasică și mai ușor de observat, BeatBanker exploatează felul în care sistemul gestionează serviciile audio aflate în execuție. Astfel, își păstrează prezența pe telefon mai mult timp și își poate continua activitatea fără să atragă atenția imediat.
De la furt bancar la control total al telefonului și minerit de Monero
Numele BeatBanker sugerează deja componenta financiară a amenințării. Kaspersky spune că versiunile inițiale combinau funcții de troian bancar cu minerit de criptomonede, fiind capabile să fure date și să compromită operațiuni financiare. În plus, analizele publicate în presa de securitate cibernetică arată că malware-ul poate manipula inclusiv tranzacții crypto.
Partea de minerit este susținută de o versiune modificată a XMRig 6.17.0, compilată pentru dispozitive ARM și folosită pentru a mina Monero. Conexiunea către pool-urile controlate de atacatori este protejată prin TLS, iar dacă adresa principală nu funcționează, malware-ul poate trece pe un proxy de rezervă. Mai important este însă modul inteligent în care își gestionează activitatea. BeatBanker monitorizează nivelul bateriei, temperatura telefonului, starea de încărcare și gradul de utilizare, trimițând aceste informații către serverul de comandă și control prin Firebase Cloud Messaging.
Atacatorii nu pornesc minerul orbește, pentru că ar risca să supraîncălzească dispozitivul și să alerteze utilizatorul. În schimb, îl activează și îl opresc în funcție de condițiile telefonului, tocmai pentru a rămâne cât mai discret. Dacă telefonul este folosit intens sau începe să se încingă prea tare, activitatea de minerit poate fi oprită. Când condițiile redevin favorabile, malware-ul revine la lucru. Este un exemplu clar de optimizare criminală, gândită să prelungească viața infecției.
Și mai îngrijorător este faptul că, în cele mai noi campanii, Kaspersky a observat că BeatBanker renunță uneori la modulul bancar în favoarea BTMOB RAT, un troian de acces la distanță deja cunoscut în ecosistemul Android. Analiza anterioară a BTMOB RAT arată că acesta poate oferi operatorilor control extins asupra dispozitivului, inclusiv keylogging, captură de ecran, înregistrare a ecranului, acces la cameră, urmărire GPS și furt de credențiale. Asta înseamnă că, într-un astfel de scenariu, telefonul compromis devine practic o platformă complet exploatabilă de la distanță.
Schimbarea aceasta este importantă pentru că arată flexibilitatea campaniei. Atacatorii nu sunt blocați într-un singur model operațional. Dacă un troian bancar clasic devine mai riscant sau mai puțin eficient, ei pot trece la un RAT comercializat deja pe piața subterană, păstrând însă aceeași infrastructură de distribuție și același mecanism de infectare.
De ce cazul BeatBanker este un avertisment pentru toți utilizatorii de Android
Deși toate infecțiile observate de Kaspersky au fost, până acum, în Brazilia, cercetătorii avertizează că malware-ul s-ar putea extinde și în alte țări dacă modelul se dovedește suficient de eficient. Iar asta este foarte plauzibil. Distribuția prin site-uri care imită Google Play, mascarea în aplicații populare sau credibile și combinarea dintre furt financiar și control la distanță sunt tactici ușor adaptabile la alte piețe.
Tocmai de aceea, lecția principală nu este doar că există un nou malware, ci că obiceiurile greșite de instalare rămân una dintre cele mai mari vulnerabilități ale utilizatorilor Android. Kaspersky recomandă să nu fie instalate APK-uri din afara magazinului oficial Google Play decât dacă sursa este de încredere, să fie verificate cu atenție permisiunile cerute de aplicații și să fie rulate scanări regulate cu Play Protect. Aceste măsuri par banale, dar exact ele fac diferența în fața unor campanii care mizează pe încrederea sau graba utilizatorului.
Cazul BeatBanker mai arată și că frontiera dintre malware bancar, spyware și cryptojacking se estompează tot mai mult. În trecut, multe familii de malware aveau un scop dominant. Astăzi, atacatorii construiesc pachete modulare, capabile să schimbe rapid funcțiile active în funcție de țintă, oportunitate și profit. Asta face detectarea, investigarea și apărarea mult mai dificile.
În final, BeatBanker nu este doar o poveste despre o aplicație falsă Starlink sau despre un nou nume din zona malware-ului Android. Este un semnal că amenințările mobile devin mai adaptive, mai tăcute și mai eficiente. Iar pentru utilizator, asta înseamnă un singur lucru: telefonul nu mai este doar un gadget personal, ci o țintă completă pentru atacatori, una care conține bani, identitate, parole, locație și acces la aproape toată viața digitală.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1667480684/9b2c55db2d6a219e6b4f1cb01dfa3ed7-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737978465/cb53cc789f9dc99c375bd558eef50b1e-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737972417/4296d57ac990f2255d6e96d2aa1e3809-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1646818613/642af41f1978ad6c1363e94ec649a4eb-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1683783849/a0652e5cd5a679a50c82d7152f14165c-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/04/1610191967/3e1e9c8604d18a7adf9a19a95f891678-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778138107/bce31910462bb6057f2af7bc8dd1bf54-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778137329/f0f751b66c8275907d38709f45ea6f0d-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/profimedia-1020991837.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/telefoanele-cu-clapeta-revin.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/701123349_1508855950591624_4212112180684446753_n.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Amenzile-care-ii-asteapta-pe-romanii-care-campeaza-pe-plajele-din-Bulgaria.-Controalele-au-inceput-deja.jpg)