Um malware identificado como BeatBanker vem atacando smartphones Android no Brasil. O aviso foi divulgado pela empresa de segurança cibernética Kaspersky.
O BeatBanker se faz passar por um app do INSS para enganar usuários e, após a instalação, converte o aparelho em uma plataforma para minerar criptomoedas, roubar dados bancários e espionar.
smart_display
Vídeos em destaque
O golpe começa antes da instalação do app
Os golpistas criaram um site falso, cupomgratisfood[.]shop, que se parece visualmente com a Google Play Store.
No site há um app chamado “INSS Reembolso”, que se apresenta como o portal oficial do Instituto Nacional do Seguro Social, usado para verificar benefícios, aposentadorias e documentos previdenciários.
Ao baixar o app, a vítima acaba instalando um Trojan, um tipo de malware que se passa por software legítimo.
Múltiplas camadas de ocultação
O arquivo instalado não traz o código malicioso diretamente. Ele é empacotado em várias camadas de proteção que dificultam a análise por pesquisadores e antivírus.
O código malicioso é carregado diretamente na memória do aparelho, sem gravar arquivos no armazenamento interno. Como a maioria dos antivírus móveis escaneia o armazenamento, isso dificulta a detecção.
Se o malware existe apenas na memória temporária, torna-se bem mais difícil de ser detectado.
O malware também checa se está sendo executado em um ambiente simulado. Pesquisadores usam emuladores — programas que replicam um celular no computador — para analisar malwares com segurança.
Se o BeatBanker identificar esse tipo de análise, ele encerra seu processo imediatamente.
O truque do áudio quase inaudível
Para evitar que o sistema finalize o processo malicioso, o vírus mantém um arquivo de áudio de cinco segundos tocando em loop, em volume quase imperceptível. No Android, serviços que reproduzem mídia ativa recebem proteção especial contra encerramento forçado.
Isso ocorre porque o sistema prefere não interromper áudios para evitar má experiência ao usuário, e o malware explora essa regra. O arquivo contém palavras em chinês, o que pode indicar a origem ou inspiração dos autores.
Além do áudio, uma notificação falsa de “atualização do sistema” permanece fixada na barra de notificações, tornando mais difícil que o sistema finalize o processo.
Minerador secreto de Monero
Quando a vítima clica no botão de atualização na tela falsa da Play Store exibida pelo malware, o BeatBanker baixa um minerador de criptomoedas. Mineração é o processo de resolver cálculos complexos para validar transações em redes como o Monero (XMR), recebendo criptomoedas como recompensa. Nesse caso, o celular da vítima é usado sem consentimento, em benefício dos criminosos.
Para não levantar suspeitas, o malware monitora a temperatura da bateria antes de iniciar a mineração. Se o aparelho estiver superaquecendo ou com pouca carga, o minerador é pausado automaticamente.
Para enviar comandos aos aparelhos infectados, os criminosos usam o Firebase Cloud Messaging (FCM), um serviço legítimo e gratuito do Google usado por milhares de apps para enviar notificações. Ao aproveitar essa infraestrutura confiável, o tráfego malicioso se mistura a comunicações legítimas e tende a passar despercebido por sistemas de segurança de rede.
O roubo de criptomoedas em tempo real
Além do minerador, o BeatBanker instala um módulo bancário que solicita permissões de acessibilidade do Android, criadas originalmente para auxiliar pessoas com deficiência. Nas mãos do malware, essa permissão vira uma forma de controle total.
Quando o malware detecta que a vítima está usando a Binance ou a Trust Wallet e iniciando uma transferência de USDT — uma criptomoeda atrelada ao dólar americano — ele age imediatamente.
Ele sobrepõe uma tela falsa ao aplicativo real, idêntica à interface original, e substitui silenciosamente o endereço de destino pelo dos criminosos. Como transações em criptomoedas são irreversíveis, quando a vítima percebe, já é tarde.
Siga o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se na newsletter e no canal do YouTube.
Versão mais recente amplia ações além do setor bancário
Em amostras mais recentes, o módulo bancário foi substituído pelo BTMOB RAT, uma ferramenta de acesso remoto completa vendida como MaaS (Malware como Serviço).
Criminosos pagam pelo acesso à ferramenta como se assinassem um software legítimo, o que indica que o BeatBanker pode ser operado por diferentes grupos que alugaram o BTMOB do desenvolvedor.
Entre as capacidades da ferramenta estão gravação de tela em tempo real, captura de teclas digitadas, acesso às câmeras e monitoramento de localização por GPS.
Como se proteger
A Kaspersky recomenda baixar apps somente pela Google Play Store oficial e sempre checar o nome do desenvolvedor. É fundamental ficar atento às permissões solicitadas, especialmente as de acessibilidade e a opção de instalar pacotes de terceiros.
Manter o sistema operacional e o antivírus móvel atualizados continua sendo uma das formas mais eficazes de proteção contra ameaças desse tipo.
