BeatBanker: kako novi Android trojanac koristi „tihu muziku“ za krađu kriptovaluta

Mobilni telefoni, 13.03.2026, 10:30 AM

Istraživači iz kompanije Kaspersky otkrili su novi Android malver nazvan BeatBanker, koji koristi neobičnu taktiku kako bi ostao aktivan na zaraženom telefonu. Malver se trenutno širi preko lažne verzije Google Play Store prodavnice aplikacija i cilja korisnike u Brazilu.

BeatBanker je dvostuka pretnja: dok je aktivan, koristi procesor zaraženog uređaja za rudarenje kriptovaluta, ali istovremeno čeka priliku da presretne finansijske transakcije i preusmeri sredstva napadačima.

Najzanimljiviji mehanizam ovog malvera je način na koji izbegava da ga operativni sistem ugasi. Većina modernih telefona automatski zatvara aplikacije koje dugo rade u pozadini kako bi se sačuvala baterija.

BeatBanker to zaobilazi tako što u pozadini neprestano reprodukuje petosekundni audio fajl. Zvuk je praktično nečujan, ali sistem telefon prepoznaje aplikaciju kao aktivni muzički plejer, pa je ne gasi. Istraživači navode da ova konstantna aktivnost sprečava Android da prekine proces, zbog čega malver ostaje aktivan satima ili danima bez prekida.

Napad počinje preko lažnog sajta koji izgleda potpuno isto kao kao Google Play Store. Ova lažna prodavnica nudi aplikaciju INSS Reembolso, koja se predstavlja kao zvanična aplikacija brazilske vlade za socijalne usluge i poreske informacije.

Nakon instalacije, aplikacija prikazuje lažni ekran za ažuriranje i traži dodatne dozvole. Kada korisnik pritisne dugme na ekranu, trojanac preuzima dodatne komponente malvera i prikazuje lažno sistemsko obaveštenje o ažuriranju dok u pozadini svira tiha muzika.

Krađa počinje kada korisnik otvori aplikacije poput Binance ili Trust Wallet. Kada žrtva pokuša da pošalje kriptovalutu, malver ubacuje lažni ekran (overlay) preko legitimne aplikacije. Dok korisnik misli da unosi adresu primaoca, BeatBanker u pozadini menja adresu novčanika i preusmerava transakciju napadaču.

Malver takođe nadgleda aktivnosti u pregledačima poput Google Chrome-a i Microsoft Edge-a kako bi ukrao podatke za prijavu.

U novijim varijantama napadači instaliraju i alat BTMOB RAT, koji omogućava potpunu daljinsku kontrolu uređaja. Napadač tada može snimati razgovore, pristupati kameri, pratiti GPS lokaciju ili čak, ako posumnja da je otkriven, daljinski obrisati telefon pokretanjem fabričkog resetovanja.

Kako se zaštititi

Istraživači upozoravaju da korisnici treba da budu posebno oprezni sa aplikacijama koje traže Accessibility dozvole bez jasnog razloga. Takve dozvole često omogućavaju malveru da manipuliše drugim aplikacijama i izvršava overlay napade.

Najbezbedniji pristup je instalacija aplikacija isključivo iz zvaničnih prodavnica i proveravanje svih traženih dozvola pre instalacije.