Pesquisadores da Kaspersky descobriram a campanha de um malware para Android direcionada ao Brasil, batizada de BeatBanker. Ela combina mineração de criptomoedas com roubo de credenciais bancárias e desvio de transações. O alerta foi publicado ontem. De acordo com a análise, o ataque começa com um site falso (cupomgratisfood[.]shop) que imita perfeitamente a Google Play Store. Nele, é oferecido o aplicativo “INSS Reembolso”, que se passa pelo portal oficial do Instituto Nacional do Seguro Social. Ao ser baixado, o APK malicioso instala um minerador de Monero (XMRig) e, em versões anteriores, um módulo bancário capaz de interceptar transações.
Tática inovadora de persistência
O BeatBanker emprega um mecanismo criativo para não ser encerrado pelo sistema: reproduz em loop um arquivo de áudio quase inaudível de cinco segundos, mantendo o serviço ativo em primeiro plano. Os pesquisadores explicam que essa tática, combinada com notificações fixas, impede que o sistema operacional suspenda o processo malicioso.
Roubo de criptomoedas
Quando o módulo bancário está presente, o malware monitora os aplicativos Binance e Trust Wallet. Ao detectar uma tentativa de transação de USDT, ele sobrepõe a tela de confirmação com uma página falsa gerada a partir de código HTML. A vítima vê o endereço que copiou (no caso da Binance) ou um ícone de carregamento (Trust Wallet), mas os fundos são enviados para uma carteira controlada pelos atacantes.
Comando e controle via Firebase
O malware utiliza a infraestrutura legítima de mensagens do Google (Firebase Cloud Messaging) como canal de comando e controle. Cada mensagem recebida aciona verificações de bateria, temperatura, tempo de instalação e presença do usuário, iniciando ou parando o minerador conforme necessário. Mais de 20 comandos remotos foram identificados, incluindo gravação de áudio, captura de tela, envio de SMS e até wipe total do dispositivo.
Evolução para RAT
Em campanhas mais recentes, os atacantes substituíram o módulo bancário pelo BTMOB, uma ferramenta de administração remota (RAT) vendida como serviço (Malware-as-a-Service). O BTMOB, que evoluiu das famílias CraxsRAT e CypherRAT, oferece controle total do dispositivo, incluindo captura de PINs e padrões de desbloqueio, acesso a câmeras e monitoramento de localização. Código-fonte vazado do BTMOB foi encontrado em fóruns da dark web.
Alvo e recomendações
Todas as variantes do BeatBanker foram detectadas em vítimas no Brasil, com algumas amostras mais recentes se espalhando também via WhatsApp e páginas de phishing. A Kaspersky recomenda baixar aplicativos apenas de fontes oficiais, verificar permissões solicitadas (especialmente acessibilidade) e manter o sistema atualizado com as últimas correções de segurança.






