一種名為 BeatBanker 的新型 Android 惡意軟體可以劫持設備，並透過偽裝成 Starlink 應用，誘騙用戶在偽裝成官方 Google Play 商店的網站上安裝該應用程式。該惡意軟體結合了銀行木馬功能和門羅幣挖礦功能，可以竊取憑證，還可以竄改加密貨幣交易。

卡巴斯基的研究人員在針對巴西用戶的攻擊活動中發現了 BeatBanker。他們還發現，該惡意軟體的最新版本部署的是名為 BTMOB RAT 的通用安卓遠端存取木馬，而不是銀行模組。

BTMOB RAT 為操作員提供完整的設備控制、鍵盤記錄、螢幕錄製、攝影機存取、GPS 追蹤和憑證擷取功能。BeatBanker 以 APK 檔案的形式分發，它使用本地庫來解密並將隱藏的 DEX 程式碼直接載入到記憶體中，以規避偵測。

卡巴斯基表示，該惡意軟體採用了一種不尋常的方法來維持其持久性，即不斷播放一個名為output8.mp3的 MP3 檔案中一段幾乎聽不到的 5 秒鐘中文語音錄音。卡巴斯基 在今天的一份報告中解釋說：“KeepAliveServiceMediaPlayback 組件通過 MediaPlayer 啟動不間斷播放，從而確保持續運行。”

“它通過通知保持服務在前台運行，並加載一個小型連續音頻文件。這種持續運行可以防止系統因用戶不活動而暫停或終止進程。”

卡巴斯基觀察到所有 BeatBanker 感染都發生在巴西，但如果該惡意軟體被證明有效，它可能會擴展到其他國家，因此建議保持警惕並採取良好的安全措施。Android 用戶不應從官方 Google Play 商店之外的地方側載 APK，除非他們信任發布者/分發者；應檢查授予的權限是否存在與應用程式功能無關的風險權限，並定期執行 Play Protect 掃描。

資料來源：https://www.bleepingcomputer.com/news/security/new-beatbanker-android-malware-poses-as-starlink-app-to-hijack-devices/