Un malware Android récemment identifié, baptisé BeatBanker, illustre la sophistication croissante des attaques mobiles. Diffusé via de faux sites imitant Google Play, ce trojan combine plusieurs fonctions : minage de cryptomonnaie, espionnage et détournement de transactions. Pour assurer sa persistance sur les smartphones infectés, il utilise notamment une technique inattendue : la diffusion permanente d’un son presque inaudible.
Une infection progressive pour contourner la vigilance
La campagne BeatBanker repose sur des pages de phishing conçues pour imiter l’interface du Google Play Store, d’après les recherches de Kapersky. L’utilisateur est invité à télécharger une application présentée comme utile. Dans certaines campagnes, le malware se faisait passer pour l’application de services gouvernementaux brésiliens INSS Reembolso ; dans d’autres cas, il imitait l’application Starlink.
L’installation du malware s’effectue en plusieurs étapes afin d’éviter de susciter la méfiance. Une fois l’application initiale installée, celle-ci simule une interface proche de Google Play et affiche une fausse mise à jour de l’application. L’utilisateur est alors invité à autoriser l’installation d’autres applications, une demande qui peut sembler normale dans ce contexte. Si cette permission est accordée, des modules malveillants supplémentaires sont téléchargés sur le smartphone.
Tous les composants du trojan sont chiffrés. Avant de poursuivre son exécution, le programme vérifie qu’il fonctionne sur un véritable smartphone et dans le pays ciblé. S’il détecte un environnement d’analyse ou d’émulation, il met fin à son activité. Les modules sont injectés directement en mémoire vive afin d’éviter la création de fichiers susceptibles d’être repérés par les outils de sécurité. Ce niveau de sophistication reste relativement rare dans les malwares mobiles.
Un malware conçu pour durer… et voler
Une fois installé, BeatBanker télécharge un module de minage de la cryptomonnaie Monero. Pour éviter que les mécanismes d’optimisation énergétique d’Android ne stoppent l’activité du mineur, les attaquants ont imaginé un stratagème simple : diffuser en continu un son presque inaudible. Les systèmes de gestion d’énergie tendent en effet à préserver les applications qui lisent de l’audio ou de la vidéo afin de ne pas interrompre la lecture en arrière-plan.
Parallèlement, le malware s’appuie sur Firebase Cloud Messaging, le service de notifications de Google, pour communiquer avec ses opérateurs et adapter son fonctionnement à distance. Le mineur peut ainsi être ralenti si l’appareil chauffe, si la batterie se décharge ou si l’utilisateur utilise activement son smartphone.
Au-delà du minage, BeatBanker intègre également des modules d’espionnage capables de surveiller l’activité du téléphone. En obtenant l’accès aux services d’accessibilité, le malware observe les applications utilisées par la victime. Lorsqu’un utilisateur ouvre Binance ou Trust Wallet pour envoyer des USDT, le trojan superpose une fausse interface au portefeuille afin de remplacer l’adresse du destinataire par celle des attaquants.
Le malware dispose également de fonctions avancées de contrôle à distance, permettant notamment d’intercepter des codes à usage unique, d’enregistrer l’audio du microphone, de diffuser l’écran en temps réel, de surveiller le presse-papiers ou encore d’envoyer des SMS. Dans certains cas, un autre module, le trojan d’accès distant BTMOB, peut être installé pour étendre encore les capacités d’espionnage et de contrôle du smartphone.
