文章总结： 卡巴斯基发现名为beatbanker的安卓木马，通过伪装成巴西政府服务及星链应用的钓鱼页面传播，采用多阶段加密安装、环境检测、内存注入等手段规避分析，并利用播放无声音频维持挖矿进程，通过Firebase云消息传递控制，具备间谍活动、加密货币盗窃及远程控制等功能。建议用户仅从官方应用商店下载应用、谨慎授予权限并安装安全软件。 综合评分： 85 文章分类： 恶意软件,移动安全,威胁情报,漏洞分析,应用安全

伪装成政府服务及星链（Starlink）应用的安卓木马

原创

卡巴斯基 卡巴斯基

卡巴斯基威胁情报

2026年4月16日 13:01 北京

在小说阅读器读本章

去阅读

我们深入剖析了BeatBanker木马攻击，该攻击集间谍活动、加密货币盗窃及挖矿行为于一身，且采用极具创意的方式在智能手机中“扎根”。

为实现其恶意目的，安卓恶意软件开发者必须接连攻克多个难题：诱骗用户将程序安装到手机中、躲避安全软件、诱导用户授予各类系统权限、避开会终止高耗资源程序的系统自带电池优化功能，并且在完成这一切后，确保恶意软件能够真正牟利。

我们的专家近期发现了一个名为 BeatBanker 的安卓恶意软件攻击活动，其开发者在上述每一个环节都采用了全新手段。该攻击（目前）主要针对巴西用户，但开发者几乎肯定会野心膨胀，将攻击范围扩展至全球，因此保持警惕并研究该威胁行为体的作案手法十分必要。

BeatBanker如何潜入智能手机

该恶意软件通过专门设计的仿冒谷歌应用商店（Google Play Store）的钓鱼页面进行传播。这些页面极易被误认为是官方应用市场，会邀请用户下载看似有用的应用程序。在其中一次攻击活动中，该木马伪装成巴西政府服务应用INSS Reembolso；在另一次活动中，则伪装成星链（Starlink）应用。

恶意网站cupomgratisfood{.}shop在模仿应用商店方面做得十分逼真。只是让人不解的是，为何这个虚假的“INSS Reembolso”（巴西社会保障局退款）应用会连续出现三次。或许是为了更加保险吧？！

安装过程分多个阶段进行，目的是避免一次性请求过多权限，进一步降低受害者的警惕心。首个应用下载并启动后，会显示一个酷似谷歌应用商店（Google Play）的界面，并伪装成诱饵应用的更新程序 —— 请求用户授予安装应用的权限，在这种场景下看起来并不会显得异常。一旦你授予该权限，恶意软件就会向你的手机下载更多恶意模块。

安装后，该木马会模拟谷歌应用商店（Google Play）里的应用更新界面，请求获取应用安装权限，并在这一过程中暗中下载更多恶意模块。

该木马的所有组件均经过加密处理。在解密并进入下一阶段感染流程之前，它会先检查运行环境，确认自身处于真实智能手机且位于目标国家境内。一旦发现环境不符，或检测到自身运行在模拟器、分析环境中，BeatBanker 会立即终止自身进程。这一机制加大了对该恶意软件的动态分析难度。

此外，该伪装成更新程序的下载器会将恶意模块直接注入内存（RAM），避免在手机中生成可被安全软件检测到的文件。上述这些手段在桌面端复杂恶意软件中并不罕见，也属于常用技巧。但在手机端，如此高隐蔽性、高复杂度的手法仍十分少见，并非所有安全工具都能识别。卡巴斯基产品的用户已受到防护，可抵御该威胁。

利用播放音频作为掩护

在植入手机后，BeatBanker 会下载一个用于门罗币（Monero）挖矿的模块。其开发者非常担心手机严苛的电池优化系统会终止挖矿程序，因此想出了一个手段：持续播放几乎听不见的声音。手机的功耗控制系统通常会保留正在播放音频或视频的应用，以免中断背景音乐或播客播放。通过这种方式，该恶意软件得以持续运行。此外，它还会在状态栏显示一条常驻通知，诱导用户保持手机开机，以便完成系统更新。

另一款伪装成星链（Starlink）应用的恶意软件发出的持续性系统更新通知示例

通过谷歌进行控制

为管理该木马程序，其开发者利用了谷歌合法的Firebase云消息传递（FCM）服务——这是一种用于从智能手机接收通知和发送数据的系统。所有应用均可使用此功能，且它是发送和接收数据最常用的方法。借助FCM，攻击者能够监控设备的状态，并根据需要更改其设置。

在恶意软件安装后的一段时间内，不会发生任何异常情况：攻击者会静观其变。随后，他们会启动挖矿程序，但如果手机出现过热、电量开始下降或机主正在使用设备等情况，他们会谨慎地限制挖矿程序的运行。所有这些操作均通过FCM完成。

盗窃与间谍活动

除挖矿程序外，BeatBanker还会安装额外模块，以监视用户并在恰当时机实施盗窃。间谍软件模块会请求无障碍服务权限，一旦获得授权，便会开始监控智能手机上发生的一切。  若机主打开币安（Binance）或Trust Wallet应用发送泰达币（USDT），恶意软件会在钱包界面上叠加一个虚假屏幕，将收款人的地址替换为自己的地址。所有转账都将落入攻击者之手。

该木马具备先进的远程控制系统，能够执行许多其他命令：  • 拦截来自谷歌身份验证器（Google Authenticator）的一次性验证码  • 从麦克风录制音频  • 实时屏幕直播  • 监控剪贴板内容并拦截按键操作  • 发送短信  • 根据攻击者发送的脚本，模拟点击屏幕特定区域和输入文本，等等     所有这些功能使得攻击者能够在受害者使用任何其他银行或支付服务（而不仅仅是加密货币支付）时实施盗窃。  有时，受害者还会感染用于间谍活动和远程控制智能手机的另一模块——BTMOB远程访问木马。其恶意功能更为广泛，包括：  • 在安卓13至15系统上自动获取特定权限  • 持续进行地理位置追踪  • 访问前后摄像头  • 获取屏幕解锁的PIN码和密码  • 捕获键盘输入

如何防范BeatBanker木马

网络犯罪分子不断改进攻击手段，想出各种新方法来从受害者身上获利。尽管如此，你仍可通过遵循一些简单的防范措施来保护自己：  • 仅从官方渠道下载应用，例如谷歌应用商店（Google Play）或设备厂商预装的应用商店。如果你在互联网上搜索时发现了某个应用，不要通过浏览器中的链接打开它；相反，你应该前往谷歌应用商店或智能手机上的其他品牌应用商店去搜索该应用。在此过程中，请查看应用的下载量、应用上线时长，并查看评分和评论。避开新应用、评分低的应用以及下载量小的应用。  • 检查你授予的每一项权限。如果你不确定某项权限的作用，或者不清楚某个特定应用为何需要该权限，就不要授予它。对于“安装未知应用”“无障碍服务”“超级用户权限”以及“在其他应用上层显示”等权限，要格外小心。我们已在另一篇文章中对此进行了详细阐述。  • 为你的设备配备全面的反恶意软件解决方案。我们自然推荐卡巴斯基安卓版。卡巴斯基产品的用户可免受BeatBanker木马的侵害——该木马会被检测为HEUR:Trojan-Dropper.AndroidOS.BeatBanker和HEUR:Trojan-Dropper.AndroidOS.Banker.*。  • 定期更新你的操作系统和安全软件。对于目前在谷歌应用商店上无法获取的卡巴斯基安卓版，请查看我们关于安装和更新该应用的详细说明。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：卡巴斯基威胁情报 卡巴斯基 卡巴斯基《伪装成政府服务及星链（Starlink）应用的安卓木马》