文章总结： 新型安卓恶意软件BeatBanker伪装成Starlink应用传播，兼具银行木马窃密与挖矿功能。其变种部署BTMOBRAT获取设备控制权，利用修改版XMRig挖掘门罗币。该软件采用内存加载代码、伪造更新界面等技术，并通过后台播放无声MP3文件实现进程保活。目前威胁主要集中在巴西，建议用户仅从官方渠道下载应用并审慎授权。 综合评分： 88 文章分类： 恶意软件,移动安全,威胁情报,终端安全

新型BeatBanker安卓恶意软件伪装Starlink应用，窃取资金并消耗设备算力挖矿

看雪学苑 看雪学苑

看雪学苑

2026年3月11日 18:08 上海

近日，一款名为 BeatBanker 的新型安卓恶意软件被曝光，它通过伪装成SpaceX的“星链”（Starlink）应用，诱导用户从伪造的谷歌应用商店（Google Play）页面下载安装，进而实现对用户设备的完全控制。

根据卡巴斯基（Kaspersky）研究人员的分析，BeatBanker是一种复合型威胁，它不仅具备银行木马的功能，能窃取用户的账户凭证、篡改加密货币交易，还集成了门罗币（Monero）挖矿模块，会在用户不知情的情况下耗尽手机性能。

双重威胁：窃取金融信息与消耗算力挖矿

BeatBanker的危害主要体现在两个层面：

1.金融盗窃：恶意软件会窃取用户的银行登录凭证。更值得关注的是，其最新变种还部署了BTMOB RAT（一种远程访问木马）。该木马赋予攻击者几乎完全的设备控制权，包括键盘记录、屏幕录制、调用摄像头、GPS定位追踪等功能，极大地增加了用户资金被盗的风险。

2.隐蔽挖矿：该恶意软件打包了一个针对ARM架构编译的修改版XMRig 6.17.0矿工。它会秘密连接攻击者控制的矿池（如pool[.]fud2026.com），利用手机的CPU资源进行门罗币挖矿。为了不被用户察觉，矿工模块会根据设备状态（如电池温度、是否充电、是否正在使用）动态启动或停止，避免因过热或卡顿引起用户怀疑。

高超的伪装与持久化技巧

BeatBanker之所以能保持隐蔽，归功于其开发者设计的多重规避手段：

• 运行环境检测：在启动恶意行为前，它会检查设备是否处于被分析或调试的环境中，以此逃避安全沙箱的检测。

• 内存加载代码：它不是直接将恶意代码写入文件，而是使用原生库解密并直接在内存中加载DEX代码，这种“无文件”技术能有效绕过传统的基于文件的病毒扫描。

• 虚假更新诱骗权限：安装后，它会显示一个伪造的“Play Store更新”界面，诱骗用户点击并授予其安装额外载荷的权限。

  

• 播放MP3文件保持活跃：这是该恶意软件最独特之处。为了实现持久化，它会在后台启动一个服务，通过MediaPlayer几乎无间断地播放一个名为 output8.mp3、时长约5秒且近乎无声的中文语音录音。这种不间断的媒体播放活动可以欺骗安卓系统，防止进程因进入空闲状态而被系统终止，从而确保恶意服务常驻后台。

当前威胁范围与防御建议

目前，卡巴斯基监测到的BeatBanker感染案例主要集中在巴西。但研究人员警告，一旦这种模式被证明有效，攻击者很可能会将目标扩展到其他国家。

为了防范此类威胁，建议用户采取以下措施：

1.坚持官方渠道：务必通过Google Play等官方应用商店下载App。切勿轻信网页弹窗或短信链接，从不明来源“侧载”（sideload）APK安装包，特别是那些看起来像官方商店但域名奇怪的网站。

2.审慎授予权限：安装应用时，仔细检查其申请的权限。如果一款应用（尤其是声称是“Starlink”的应用）申请了与自身功能无关的敏感权限（如短信、无障碍服务、通讯录等），应高度警惕并拒绝。

3.启用安全扫描：确保Google Play Protect等安全功能处于开启状态，定期对设备进行安全扫描。

资讯来源：本文基于Kaspersky的安全研究报告及BleepingComputer相关报道编译整理。

﹀

﹀

﹀

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑 看雪学苑《新型BeatBanker安卓恶意软件伪装Starlink应用，窃取资金并消耗设备算力挖矿》