beatbanker - RunkIntel

# BeatBanker > [!danger] Android Banking Trojan - PIX e Crypto > Trojan bancario Android identificado em marco de 2026 como parte de uma onda de 6 familias de malware Android direcionadas ao ecossistema financeiro brasileiro. O BeatBanker combina um minerador de Monero, o RAT BTMOB e módulos de overlay bancario para fraudar transações PIX e substituir enderecos de carteiras de criptomoedas. Distingue-se por usar um loop de audio quase inaudivel como mecanismo de persistência. ## Visão Geral **BeatBanker** e um trojan bancario Android projetado para atacar usuarios de bancos brasileiros e usuarios de criptomoedas via PIX e exchanges (Binance, Trust Wallet). Descoberto pela [[kaspersky|Kaspersky]] em marco de 2026 como parte de uma investigação que revelou **6 familias distintas** de trojans bancarios Android direcionados ao Brasil. O BeatBanker se destaca entre os troians bancarios Android brasileiros por sua **arquitetura hibrida**: combina um minerador de criptomoeda Monero com o **BTMOB RAT** (Remote Access Tool) e módulos de overlay bancario específicos para o sistema PIX e exchanges de criptomoedas. A arquitetura de tres camadas - miner + RAT + banking module - maximiza o valor extraido de cada dispositivo comprometido. O mecanismo de persistência e incomum: o malware reproduz em loop um **arquivo de audio chines quase inaudivel** de 5 segundos para impedir a terminacao do processo pelo sistema Android. Essa técnica abusa do comportamento de gerenciamento de processos do Android para processos com saida de audio ativa. | Campo | Detalhe | |-------|---------| | **Tipo** | Android Banking Trojan + Crypto Miner + RAT | | **Plataforma** | Android | | **Primeira observacao** | Marco 2026 | | **Descoberta** | Kaspersky (marco 2026), The Hacker News | | **Alvo primario** | Usuarios PIX e cripto no Brasil | | **Distinctivo** | Loop de audio + Monero miner + BTMOB RAT | ## Como Funciona **Distribuição:** APKs maliciosos distribuidos via lojas de aplicativos nao oficiais (fora do Google Play) e phishing via SMS/WhatsApp. Lures documentados incluem aplicativos imitando servicos públicos brasileiros e o aplicativo oficial da Starlink. Algumas variantes usam Google Ads com malvertising para redirecionar usuarios para paginas falsas de download. **Instalacao e Permissoes:** Após instalacao, solicita permissoes de Acessibilidade do Android com escopo amplo (`typeAllMask`, `canRetrieveWindowContent`, `canPerformGestures`). Com essas permissoes, pode monitorar qualquer app, simular toques e interceptar entrada de texto - base para todos os ataques de overlay e clipboard. **Componente Minerador Monero:** O BeatBanker instala e executa um minerador de Monero em segundo plano, utilizando a CPU do dispositivo para minerar criptomoeda para o atacante. Impacto: bateria e dados moveis esgotados rapidamente - sinal de alerta para o usuario. **Componente BTMOB RAT:** O payload BTMOB RAT oferece controle remoto completo do dispositivo - streaming de tela, simulacao de toque, exfiltração de dados. O código-fonte do BTMOB vazou no dark web, tornando-o acessivel para desenvolvimento de variantes por outros atores. **Fraude PIX via Overlay:** Monitora quando o usuario inicia uma transferencia PIX. Injeta uma **tela de overlay** sobre o aplicativo bancario legítimo durante a confirmacao da transação. A tela falsa substitui o endereco de destino pelo endereco do atacante - a vitima confirma o pagamento sem saber que o destinatario foi alterado. O sistema PIX e irreversivel, impedindo estorno. **Substituicao de Endereco Cripto:** Para transações em Binance e Trust Wallet, o malware monitora o clipboard e substitui qualquer endereco de carteira copiado pelo endereco do atacante. O usuario cola o que acredita ser o endereco correto - os fundos vao para o atacante. **Mecanismo de Persistência - Loop de Audio:** O malware reproduz em loop continuo um arquivo de audio MP3 chines de aproximadamente 5 segundos em volume quase inaudivel. O sistema Android prioriza processos com saida de audio ativa e reluta em termina-los, garantindo que o malware sobreviva a tentativas de fechamento manual ou de gerenciamento de memoria agressivo. ## Attack Flow ```mermaid graph TB A["📲 APK Malicioso Lojá nao oficial / phishing Imita Starlink / servico publico"] --> B["🔒 Permissoes Acessibilidade typeAllMask + canRetrieveWindowContent canPerformGestures"] B --> C["⛏️ Monero Miner CPU mining em background Bateria + dados esgotados"] B --> D["🤖 BTMOB RAT Screen streaming Remote control completo"] B --> E["👁️ Monitor PIX / Cripto Detecta transação em andamento Clipboard + overlay"] E --> F["💳 Overlay PIX Substitui destinatario Transação irreversivel"] E --> G["🔄 Clipboard Hijack Substitui endereco wallet Binance / Trust Wallet"] C --> H["💰 Lucro Atacante Monero minerado PIX + cripto roubados"] classDef install fill:#e74c3c,stroke:#c0392b,color:#fff classDef perm fill:#e67e22,stroke:#d35400,color:#fff classDef module fill:#2980b9,stroke:#1a5276,color:#fff classDef monitor fill:#27ae60,stroke:#1e8449,color:#fff classDef fraud fill:#8e44ad,stroke:#7d3c98,color:#fff classDef profit fill:#c0392b,stroke:#922b21,color:#fff class A install class B perm class C,D module class E monitor class F,G fraud class H profit ``` ## Timeline ```mermaid timeline title BeatBanker e Familia Android Brasil 2025-2026 2025 : Primeiros trojans Android via PIX documentados : PixRevolution identificado (Zimperium) 2026-01 : Expansao de familias Android mirando PIX : Surgimento de multiplos novos atores 2026-03 : Kaspersky reporta BeatBanker + BTMOB : 6 familias Android identificadas simultaneamente 2026-03 : The Hacker News cobertura global : TaxiSpy, MiraxRAT, SurxRAT, OblivionRAT também descobertos ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|---------------| | Acesso Inicial | T1476 | APK distribuido via lojas nao oficiais e phishing | | Acesso Inicial | [[t1036-masquerading\|T1036]] | Imita aplicativo Starlink ou servico público legitimo | | Evasão | T1418 | Anti-análise e verificacoes de ambiente | | Coleta | [[t1056-input-capture\|T1056]] | Overlay captura credenciais e confirmacoes de transação | | Coleta | [[t1417-input-capture-android\|T1417]] | Input capture específico Android via Accessibility Services | | Coleta | [[t1185-browser-session-hijacking\|T1185]] | Interceptação de sessoes de mobile banking | | Coleta | [[t1430-location-tracking\|T1430]] | Rastreamento de localização do dispositivo | | Impacto | T1496 | Mineracao de Monero via CPU do dispositivo | | Impacto | T1657 | Fraude financeira via overlay PIX e clipboard hijack | | C2 | [[t1407-download-new-code-at-runtime\|T1407]] | Download de payloads adicionais do C2 | | C2 | [[t1422-system-network-configuration-discovery\|T1422]] | Descoberta de configuração de rede para exfiltração | ## Comparativo - Familia Android Brasil 2026 | Familia | Caracteristica Distintiva | PIX | Cripto | Distribuição | |---------|--------------------------|-----|--------|-------------| | **BeatBanker** | Monero miner + BTMOB RAT + audio loop | Overlay | Clipboard hijack | Starlink falso / phishing | | [[taxispy-rat\|TaxiSpy RAT]] | Exfiltração ampla (SMS, contatos, PINs) | Sim | Sim | Nao específicado | | [[mirax-rat\|MiraxRAT]] | Hijacking de dispositivo + overlays | Sim | Sim | APKs multi-componente | | [[surxrat\|SurxRAT]] | Remote Admin Tool avancado | Sim | Sim | Nao específicado | | [[oblivion-rat\|OblivionRAT]] | Overlays bancarios tradicionais | Sim | Nao | Campanha multi-familia | | [[pixrevolution\|PixRevolution]] | Operado por humano/IA em tempo real | Sim (streaming) | Nao | Separado / mais avancado | ## Contexto LATAM - Onda Android 2026 O surgimento simultaneo de 6 familias de malware Android mirando o PIX em marco de 2026 indica um **ecossistema MaaS (Malware-as-a-Service)** direcionado específicamente ao mercado brasileiro. O PIX, sistema de pagamentos instantaneos do Banco Central com adocao de mais de **150 milhões de usuarios** e transações de **R$ 5 trilhoes mensais**, criou uma superficie de ataque extraordinariamente lucrativa: transações rapidas, irreversiveis e sem limite de horario. O Brasil e o **maior alvo de trojans bancarios moveis na América Latina**, concentrando mais de 35% dos ataques regionais. A combinacao de alta adocao de smartphone, PIX como método primario de pagamento e familiaridade limitada com ameaças Android cria o ambiente ideal para esses ataques. Outros trojans Android específicos para PIX documentados incluem [[pixrevolution|PixRevolution]] (operado por humano ou IA em streaming de tela em tempo real), [[gopix|GoPix]] (implante em memoria com técnicas avanacadas) e outros da onda de 2026. ## Detecção e Defesa **Indicadores comportamentais:** - APK solicitando permissao de Acessibilidade com escopo `typeAllMask` e `canRetrieveWindowContent`. - Processo executando stream de audio de baixo volume continuamente em segundo plano. - Acesso ao clipboard imediatamente antes de confirmacao de transação PIX ou cripto. - Componente de mineracao de Monero (`libxmrig.so` ou similar) no APK. - APKs com componente oculto (`assets/update.apk`) para instalacao silenciosa de payload secundario. **Mitigacoes:** - Instalar aplicativos **exclusivamente do Google Play** - verificar desenvolvedor e reviews antes de instalar. - Nunca conceder permissao de Acessibilidade a aplicativos que nao sejam leitores de tela ou ferramentas de acessibilidade legitimamente necessárias. - Verificar o destinatario da transação PIX diretamente no aplicativo bancario oficial após confirmar no popup - nao confiar em telas de confirmacao overlay. - Implementar Google Play Protect ativo com varredura de APKs. - Monitorar consumo anormal de bateria e dados como sinal de miner ativo. ## Referências - [1](https://thehackernews.com/2026/03/six-android-malware-families-target-pix.html) The Hacker News - 6 familias Android mirando PIX (2026) - [2](https://www.kaspersky.com/about/press-releases/kaspersky-uncovers-a-new-android-malware-campaign-disguised-as-starlink-application) Kaspersky - BeatBanker disfarçado como Starlink - [3](https://zimperium.com/blog/pixrevolution-the-agent-operated-android-trojan-hijacking-brazils-pix-payments-in-real-time) Zimperium - PixRevolution análise - [4](https://securelist.com/gopix-banking-trojan/119173/) Kaspersky Securelist - GoPix Banking Trojan - [5](https://therecord.media/fake-gov-apps-malware-android-brazil) The Record - Fake gov apps malware Android Brasil - [6](https://dailyhodl.com/2026/03/20/bank-trojan-hits-android-users-targets-payment-system-used-by-150000000-people/) Daily HODL - Trojan targeting PIX (150M users)