近日，一款名为 BeatBanker 的新型安卓恶意软件被曝光，它通过伪装成SpaceX的“星链”（Starlink）应用，诱导用户从伪造的谷歌应用商店（Google Play）页面下载安装，进而实现对用户设备的完全控制。

根据卡巴斯基（Kaspersky）研究人员的分析，BeatBanker是一种复合型威胁，它不仅具备银行木马的功能，能窃取用户的账户凭证、篡改加密货币交易，还集成了门罗币（Monero）挖矿模块，会在用户不知情的情况下耗尽手机性能。

双重威胁：窃取金融信息与消耗算力挖矿

BeatBanker的危害主要体现在两个层面：

1.金融盗窃：恶意软件会窃取用户的银行登录凭证。更值得关注的是，其最新变种还部署了BTMOB RAT（一种远程访问木马）。该木马赋予攻击者几乎完全的设备控制权，包括键盘记录、屏幕录制、调用摄像头、GPS定位追踪等功能，极大地增加了用户资金被盗的风险。

2.隐蔽挖矿：该恶意软件打包了一个针对ARM架构编译的修改版XMRig 6.17.0矿工。它会秘密连接攻击者控制的矿池（如pool[.]fud2026.com），利用手机的CPU资源进行门罗币挖矿。为了不被用户察觉，矿工模块会根据设备状态（如电池温度、是否充电、是否正在使用）动态启动或停止，避免因过热或卡顿引起用户怀疑。

高超的伪装与持久化技巧

BeatBanker之所以能保持隐蔽，归功于其开发者设计的多重规避手段：

• 运行环境检测：在启动恶意行为前，它会检查设备是否处于被分析或调试的环境中，以此逃避安全沙箱的检测。

• 内存加载代码：它不是直接将恶意代码写入文件，而是使用原生库解密并直接在内存中加载DEX代码，这种“无文件”技术能有效绕过传统的基于文件的病毒扫描。

• 虚假更新诱骗权限：安装后，它会显示一个伪造的“Play Store更新”界面，诱骗用户点击并授予其安装额外载荷的权限。

• 播放MP3文件保持活跃：这是该恶意软件最独特之处。为了实现持久化，它会在后台启动一个服务，通过MediaPlayer几乎无间断地播放一个名为 output8.mp3、时长约5秒且近乎无声的中文语音录音。这种不间断的媒体播放活动可以欺骗安卓系统，防止进程因进入空闲状态而被系统终止，从而确保恶意服务常驻后台。

当前威胁范围与防御建议

目前，卡巴斯基监测到的BeatBanker感染案例主要集中在巴西。但研究人员警告，一旦这种模式被证明有效，攻击者很可能会将目标扩展到其他国家。

为了防范此类威胁，建议用户采取以下措施：

1.坚持官方渠道：务必通过Google Play等官方应用商店下载App。切勿轻信网页弹窗或短信链接，从不明来源“侧载”（sideload）APK安装包，特别是那些看起来像官方商店但域名奇怪的网站。

2.审慎授予权限：安装应用时，仔细检查其申请的权限。如果一款应用（尤其是声称是“Starlink”的应用）申请了与自身功能无关的敏感权限（如短信、无障碍服务、通讯录等），应高度警惕并拒绝。

3.启用安全扫描：确保Google Play Protect等安全功能处于开启状态，定期对设备进行安全扫描。

资讯来源：本文基于Kaspersky的安全研究报告及BleepingComputer相关报道编译整理。

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！