Comment supprimer BeatBanker des appareils Android
de TroieÉgalement connu sous le nom de: Le logiciel malveillant BeatBanker, spécialisé dans le minage de cryptomonnaies et le vol d'informations
Obtenez une analyse gratuite et vérifiez si votre ordinateur est infecté.
SUPPRIMEZ-LES MAINTENANTPour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.
De quel type de logiciel malveillant s'agit-il avec BeatBanker ?
BeatBanker est un logiciel malveillant pour Android diffusé via de faux sites web se faisant passer pour le Google Play Store. Il agit à la fois comme un cheval de Troie bancaire qui prend le contrôle des appareils et falsifie les écrans, et comme un mineur de cryptomonnaie. S'il est détecté sur un appareil, BeatBanker doit être supprimé dès que possible afin d'éviter des pertes financières et d'autres conséquences.
Présentation de BeatBanker
Lorsqu'il s'exécute pour la première fois, le logiciel malveillant BeatBanker vérifie certaines informations réseau de base, telles que l'adresse IP de l'appareil, s'il s'agit d'un téléphone mobile, si l'utilisateur utilise un VPN, ainsi que d'autres informations réseau connexes. Au lieu d'enregistrer son code malveillant sous forme de fichiers sur le téléphone, BeatBanker charge ce code directement dans la mémoire de l'appareil.
Comme aucun fichier n'est enregistré sur l'appareil, il est plus difficile pour les applications de sécurité de détecter BeatBanker. De plus, le logiciel malveillant vérifie s'il s'exécute dans un environnement de test ou d'analyse (par exemple, un émulateur). S'il en détecte un, il se désactive immédiatement pour éviter d'être analysé.
Ensuite, BeatBanker affiche une fausse page ressemblant au Google Play Store pour l'application INSS Reembolso, indiquant qu'une mise à jour est disponible. Lorsque la victime appuie sur « Mettre à jour », le logiciel malveillant demande l'autorisation d'installer des applications et télécharge des composants malveillants dissimulés. Au lieu de passer par le véritable Google Play Store, il installe ces fichiers directement en utilisant des autorisations spéciales.
Afin de rester actif, le logiciel malveillant affiche en permanence à l'écran une fausse notification de mise à jour du système et exécute un service en avant-plan avec lecture multimédia silencieuse, ce qui l'empêche d'être interrompu par le système. De plus, lorsque la victime clique sur « Mettre à jour » sur la fausse page du Google Play Store, le logiciel malveillant télécharge discrètement un fichier contenant un logiciel de minage de cryptomonnaie.
Le cryptominer téléchargé (une version modifiée de XMRig) utilise le processeur du téléphone de la victime pour miner de la cryptomonnaie au profit des pirates. BeatBanker peut surveiller l'état de la batterie, la température et l'activité de l'utilisateur du téléphone afin de déterminer quand lancer ou arrêter le cryptominer.
Module bancaire
BeatBanker utilise un cheval de Troie bancaire en plus du mineur de cryptomonnaie. Il tente de piéger la victime pour qu'elle lui accorde des autorisations d'accès, ce qui permet aux cybercriminels de prendre le contrôle de l'interface de l'appareil. Le logiciel malveillant vérifie quelles applications sont ouvertes et cible Binance et Trust Wallet (il se concentre sur les transactions en USDT).
Lorsque la victime tente d'envoyer des fonds, une fausse page recouvre l'écran de transaction et modifie en secret l'adresse du destinataire pour la remplacer par celle de l'opérateur. En recourant à de telles techniques, les cybercriminels cherchent à faire croire aux victimes qu'elles envoient des cryptomonnaies à l'adresse qu'elles ont indiquée, alors qu'en réalité, celles-ci sont envoyées aux auteurs de l'attaque.
De plus, le module bancaire de BeatBanker vérifie si les navigateurs Brave, Chrome, Dolphin Browser, DuckDuckGo, Edge, Firefox, Opera et sBrowser sont installés. Il recueille ensuite les sites web consultés par la victime et peut gérer les liens enregistrés dans le navigateur par défaut (ajouter, modifier, supprimer, afficher la liste) ainsi qu'ouvrir les liens fournis par les pirates.
Commandes prises en charge
BeatBanker peut recevoir des commandes du serveur C2 et effectuer diverses actions malveillantes sur l'appareil infecté. Il peut afficher de fausses mises à jour logicielles, verrouiller l'écran, récupérer des données du presse-papiers, répertorier les enregistrements audio (et les envoyer aux cybercriminels), ouvrir des liens dans les navigateurs, mettre à jour les identifiants de connexion et envoyer des SMS.
De plus, il peut effacer toutes les données (réinitialiser les paramètres d'usine), supprimer des fichiers ou se désinstaller lui-même. BeatBanker peut également enregistrer ce que l'utilisateur tape, lire le texte affiché à l'écran, réaliser des captures d'écran et diffuser l'écran en temps réel. Il peut en outre surveiller les applications, bloquer ou autoriser des applications via un pare-feu intégré, créer des notifications persistantes et contrôler une connexion VPN.
Il est important de noter que BeatBanker peut demander diverses autorisations, telles que l'accès aux fonctionnalités d'accessibilité, la possibilité d'afficher des éléments par-dessus d'autres applications et l'autorisation d'installer des applications provenant de sources inconnues. Grâce à ces autorisations, l'application peut automatiquement appuyer ou faire glisser son doigt sur l'écran, ouvrir des liens, exécuter des codes USSD et installer des applications supplémentaires.
Nouvelle variante
Une nouvelle variante de BeatBanker, déguisée en fausse application StarLink, cible également les utilisateurs d'Android. Cette version intègre également un mineur de cryptomonnaie, mais n'installe pas le cheval de Troie bancaire. À la place, elle déploie le cheval de Troie d'administration à distance (RAT) BTMOB. BTMOB permet aux pirates de contrôler entièrement les appareils infectés et est commercialisé sous forme de « Malware-as-a-Service » (MaaS).
| Nom | Le logiciel malveillant BeatBanker, spécialisé dans le minage de cryptomonnaies et le vol d'informations |
| Type de menace | Malware Android, cheval de Troie bancaire, mineur de cryptomonnaie, outil d'accès à distance |
| Noms de détection | Avast (APK:CRepMalware [Trj]), Combo Cleaner (Android.Riskware.FakeApp.ADD), Kaspersky (HEUR:Trojan-Dropper.AndroidOS.Banker.bg), Trustlook (Android.Malware.Trojan), Liste complète (VirusTotal) |
| Symptômes | De faux écrans de mise à jour, des applications inconnues installées sur l'appareil, des transactions inattendues en cryptomonnaie, un ralentissement des performances de l'appareil. |
| Modes de distribution | Faux site web du Google Play Store, applications trompeuses. |
| Dommages | Vol de données personnelles, baisse des performances des appareils, pertes de données, pertes financières, usurpation d'identité, etc. |
|
Suppression des maliciels (Windows) |
Pour éliminer d'éventuelles infections par des maliciels, analysez votre ordinateur avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. Téléchargez Combo CleanerUn scanner gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk. |
Conclusion
BeatBanker est un logiciel malveillant pour Android capable de miner des cryptomonnaies, de voler des informations bancaires et de permettre le contrôle à distance des appareils. Il utilise des techniques persistantes et des autorisations cachées pour passer inaperçu tout en collectant des données sensibles et en surveillant l'activité des utilisateurs. Certaines variantes installent également BTMOB, offrant ainsi aux pirates un accès complet et un contrôle à long terme sur les appareils infectés.
Parmi les autres exemples de logiciels malveillants ciblant les appareils Android, on peut citer Massiv, PromptSpy et Oblivion.
Comment BeatBanker s'est-il introduit dans mon appareil ?
BeatBanker infecte les appareils via un faux site web qui ressemble au Google Play Store. Les utilisateurs sont amenés à installer une application malveillante déguisée en « INSS Reembolso » ou en une autre fausse application gouvernementale. L'appareil est infecté dès que l'utilisateur installe cette fausse application. Une fois actif, BeatBanker télécharge des composants supplémentaires, comme un mineur de cryptomonnaie.
Comment éviter l'installation de logiciels malveillants ?
Veillez à maintenir votre système d'exploitation et vos applications à jour, et ne téléchargez des logiciels qu'à partir de sources fiables, telles que les sites Web officiels ou les boutiques d'applications. Méfiez-vous des e-mails ou des messages inattendus et ne cliquez pas sur les liens ni n'ouvrez les pièces jointes à moins d'être certain qu'ils ne présentent aucun danger.
Lorsque vous naviguez sur Internet, évitez de cliquer sur les fenêtres contextuelles, les publicités ou les liens figurant sur des sites douteux, et refusez les demandes d'autorisation de notification provenant de sites peu fiables. Analysez régulièrement votre appareil à l'aide d'un logiciel de sécurité fiable afin de détecter et de supprimer toute menace potentielle.
Panneau d'administration de BeatBanker (source : securelist.com) :
Superpositions affichées par BeatBanker (source : securelist.com) :
Menu rapide :
- Introduction
- Comment supprimer l'historique de navigation du navigateur Chrome ?
- Comment désactiver les notifications dans le navigateur Chrome ?
- Comment réinitialiser le navigateur web Chrome ?
- Comment supprimer l'historique de navigation du navigateur web Firefox ?
- Comment désactiver les notifications dans le navigateur web Firefox ?
- Comment réinitialiser le navigateur web Firefox ?
- Comment désinstaller des applications potentiellement indésirables et/ou malveillantes ?
- Comment démarrer un appareil Android en « mode sans échec » ?
- Comment vérifier la consommation de batterie des différentes applications ?
- Comment vérifier la consommation de données des différentes applications ?
- Comment installer les dernières mises à jour logicielles ?
- Comment réinitialiser le système à ses paramètres d'usine ?
- Comment désactiver les applications disposant de privilèges d'administrateur ?
Supprimer l'historique de navigation du navigateur Chrome :
Appuyez sur le bouton « Menu » (les trois points situés dans le coin supérieur droit de l'écran) et sélectionnez « Historique » dans le menu déroulant qui s'affiche.
Appuyez sur « Effacer les données de navigation », sélectionnez l'onglet « AVANCÉ », choisissez la période et les types de données que vous souhaitez supprimer, puis appuyez sur « Effacer les données ».
[Retour à la Table des Matières]
Désactiver les notifications dans le navigateur Chrome :
Appuyez sur le bouton « Menu » (les trois points situés dans le coin supérieur droit de l'écran) et sélectionnez « Paramètres » dans le menu déroulant qui s'affiche.
Faites défiler vers le bas jusqu'à ce que vous voyiez l'option « Paramètres du site », puis appuyez dessus. Faites défiler vers le bas jusqu'à ce que vous voyiez l'option « Notifications », puis appuyez dessus.
Recherchez les sites web qui envoient des notifications via le navigateur, appuyez dessus, puis cliquez sur « Effacer et réinitialiser ». Cela supprimera les autorisations accordées à ces sites web pour l'envoi de notifications. Cependant, si vous visitez à nouveau ce site, il se peut qu'il vous demande à nouveau l'autorisation. Vous pouvez choisir d'accorder ou non ces autorisations (si vous choisissez de refuser, le site web sera déplacé vers la section « Bloqués » et ne vous demandera plus l'autorisation).
[Retour à la Table des Matières]
Réinitialiser le navigateur Web Chrome :
Accédez à « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Applications », puis appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous trouviez l'application « Chrome », sélectionnez-la, puis appuyez sur l'option « Stockage ».
Appuyez sur « GÉRER LE STOCKAGE », puis sur « EFFACER TOUTES LES DONNÉES » et confirmez l'action en appuyant sur « OK ». Notez que la réinitialisation du navigateur supprimera toutes les données qui y sont stockées. Cela signifie que tous les identifiants et mots de passe enregistrés, l'historique de navigation, les paramètres personnalisés et les autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites web.
[Retour à la Table des Matières]
Supprimer l'historique de navigation du navigateur Web Firefox :
Appuyez sur le bouton « Menu » (les trois points situés dans le coin supérieur droit de l'écran) et sélectionnez « Historique » dans le menu déroulant qui s'affiche.
Faites défiler vers le bas jusqu'à ce que vous voyiez « Effacer les données privées », puis appuyez dessus. Sélectionnez les types de données que vous souhaitez supprimer, puis appuyez sur « EFFACER LES DONNÉES ».
[Retour à la Table des Matières]
Désactiver les notifications du navigateur dans Firefox :
Rendez-vous sur le site web qui envoie des notifications via le navigateur, appuyez sur l'icône située à gauche de la barre d'adresse (cette icône ne sera pas forcément un « Cadenas ») et sélectionnez « Modifier les paramètres du site ».
Dans la fenêtre contextuelle qui s'ouvre, sélectionnez l'option « Notifications » puis appuyez sur « EFFACER ».
[Retour à la Table des Matières]
Réinitialisez le navigateur Web Firefox :
Accédez à « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Applications », puis appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous trouviez l'application « Firefox », sélectionnez-la, puis appuyez sur l'option « Stockage ».
Appuyez sur « EFFACER LES DONNÉES » et confirmez l'action en appuyant sur « SUPPRIMER ». Notez que la réinitialisation du navigateur entraînera la suppression de toutes les données qui y sont stockées. Cela signifie que tous les identifiants et mots de passe enregistrés, l'historique de navigation, les paramètres personnalisés et les autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites web.
[Retour à la Table des Matières]
Désinstallez les applications potentiellement indésirables et/ou malveillantes :
Accédez à « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Applications », puis appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous trouviez une application potentiellement indésirable et/ou malveillante, sélectionnez-la et appuyez sur « Désinstaller ». Si, pour une raison quelconque, vous ne parvenez pas à supprimer l'application sélectionnée (par exemple, si un message d'erreur s'affiche), essayez d'utiliser le « Mode sans échec ».
[Retour à la Table des Matières]
Démarrez l'appareil Android en « mode sans échec » :
Le « Mode sans échec » du système d'exploitation Android désactive temporairement l'exécution de toutes les applications tierces. L'utilisation de ce mode est un bon moyen de diagnostiquer et de résoudre divers problèmes (par exemple, supprimer les applications malveillantes qui vous en empêchent lorsque l'appareil fonctionne « normalement »).
Appuyez sur le bouton « Alimentation » et maintenez-le enfoncé jusqu'à ce que l'écran « Éteindre » s'affiche. Appuyez sur l'icône « Mettre hors tension » et maintenez-la enfoncée. Après quelques secondes, l'option « Mode sans échec » apparaîtra et vous pourrez l'activer en redémarrant l'appareil.
[Retour à la Table des Matières]
Vérifiez la consommation de batterie des différentes applications :
Accédez à « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Maintenance de l'appareil », puis appuyez dessus.
Appuyez sur « Batterie » et vérifiez la consommation de chaque application. Les applications légitimes sont conçues pour consommer le moins d'énergie possible afin d'offrir la meilleure expérience utilisateur et d'économiser la batterie. Par conséquent, une consommation élevée de la batterie peut indiquer que l'application est malveillante.
[Retour à la Table des Matières]
Vérifiez la consommation de données des différentes applications :
Accédez à « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Connexions », puis appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez « Utilisation des données » et sélectionnez cette option. Tout comme pour la batterie, les applications légitimes sont conçues pour réduire au maximum la consommation de données. Cela signifie qu'une consommation excessive de données peut indiquer la présence d'une application malveillante. Notez que certaines applications malveillantes peuvent être conçues pour fonctionner uniquement lorsque l'appareil est connecté à un réseau sans fil. C'est pourquoi vous devez vérifier à la fois l'utilisation des données mobiles et celle des données Wi-Fi.
Si vous constatez qu'une application consomme beaucoup de données alors que vous ne l'utilisez jamais, nous vous recommandons vivement de la désinstaller dès que possible.
[Retour à la Table des Matières]
Installez les dernières mises à jour logicielles :
Il est recommandé de maintenir le logiciel à jour pour garantir la sécurité de votre appareil. Les fabricants publient régulièrement des correctifs de sécurité et des mises à jour Android afin de corriger les erreurs et les failles susceptibles d'être exploitées par des cybercriminels. Un système obsolète est bien plus vulnérable ; c'est pourquoi vous devez toujours vous assurer que le logiciel de votre appareil est à jour.
Accédez à « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Mise à jour logicielle », puis appuyez dessus.
Appuyez sur « Télécharger les mises à jour manuellement » et vérifiez si des mises à jour sont disponibles. Si c'est le cas, installez-les immédiatement. Nous vous recommandons également d'activer l'option « Télécharger les mises à jour automatiquement » : cela permettra au système de vous avertir dès qu'une mise à jour est disponible et/ou de l'installer automatiquement.
[Retour à la Table des Matières]
Réinitialisez le système à ses paramètres d'usine :
Effectuer une « réinitialisation d'usine » est un bon moyen de supprimer toutes les applications indésirables, de rétablir les paramètres par défaut du système et de nettoyer l'appareil dans son ensemble. Cependant, vous devez garder à l'esprit que toutes les données contenues dans l'appareil seront supprimées, y compris les photos, les fichiers vidéo/audio, les numéros de téléphone (enregistrés dans l'appareil, et non sur la carte SIM), les SMS, etc. En d'autres termes, l'appareil sera réinitialisé à son état d'origine.
Vous pouvez également restaurer les paramètres système de base et/ou simplement les paramètres réseau.
Accédez à « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « À propos du téléphone », puis appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez « Réinitialiser » et appuyez dessus. Choisissez ensuite l'action que vous souhaitez effectuer :
« Réinitialiser les paramètres » - rétablit tous les paramètres système par défaut ;
« Réinitialiser les paramètres réseau » - rétablit tous les paramètres liés au réseau par défaut ;
« Réinitialisation des données d'usine » - réinitialise l'ensemble du système et supprime complètement toutes les données stockées ;
[Retour à la Table des Matières]
Désactivez les applications disposant de privilèges d'administrateur :
Si une application malveillante obtient des privilèges d'administrateur, elle peut causer de graves dommages au système. Pour garantir la sécurité optimale de votre appareil, vous devez toujours vérifier quelles applications disposent de ces privilèges et désactiver celles qui ne devraient pas en avoir.
Accédez à « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Écran de verrouillage et sécurité », puis appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez « Autres paramètres de sécurité », appuyez dessus, puis appuyez sur « Applications administrateur de l'appareil ».
Identifiez les applications qui ne devraient pas disposer de privilèges d'administrateur, appuyez dessus, puis appuyez sur « DÉSACTIVER ».
Foire aux questions (FAQ)
Mon appareil est infecté par le malware BeatBanker. Dois-je formater mon périphérique de stockage pour m'en débarrasser ?
Cette opération supprimera BeatBanker, mais effacera également toutes les données de l'appareil ; elle ne doit donc être envisagée qu'en dernier recours. Avant de procéder, il est recommandé d'effectuer une analyse complète à l'aide d'un logiciel de sécurité fiable, tel que Combo Cleaner.
Quels sont les principaux problèmes que peuvent causer les logiciels malveillants ?
Les logiciels malveillants peuvent ralentir un appareil, provoquer des pannes du système, supprimer ou chiffrer des fichiers, et installer d'autres programmes malveillants. Ils peuvent également voler des informations personnelles, permettre aux pirates d'accéder à distance au système et mener d'autres actions malveillantes.
Quel est l'objectif de BeatBanker ?
BeatBanker a pour objectif de voler des cryptomonnaies, d'exploiter minièrement des cryptomonnaies à l'aide de l'appareil de la victime et de permettre aux pirates de prendre le contrôle à distance de l'appareil infecté.
Comment BeatBanker s'est-il introduit dans mon appareil ?
BeatBanker s'introduit généralement dans un appareil lorsqu'un utilisateur télécharge et installe une fausse application à partir d'un site web non officiel du Google Play Store. Ces applications se font souvent passer pour des services légitimes et utilisent de fausses mises à jour pour inciter l'utilisateur à leur accorder des autorisations. Une fois installé, le logiciel malveillant s'exécute en arrière-plan et télécharge des composants malveillants supplémentaires.
Combo Cleaner me protège-t-il contre les logiciels malveillants ?
Oui, Combo Cleaner est capable de détecter et de supprimer de nombreux types de logiciels malveillants connus. Cependant, certaines menaces sophistiquées peuvent se cacher profondément dans le système ; il est donc recommandé d'effectuer une analyse complète du système.
Partager:
Facebook
X.com
LinkedIn
Copier le lien
Tomas Meskauskas
Chercheur expert en sécurité, analyste professionnel en logiciels malveillants
Je suis passionné par la sécurité informatique et la technologie. J'ai une expérience de plus de 10 ans dans diverses entreprises liées à la résolution de problèmes techniques informatiques et à la sécurité Internet. Je travaille comme auteur et éditeur pour PCrisk depuis 2010. Suivez-moi sur Twitter et LinkedIn pour rester informé des dernières menaces de sécurité en ligne.
Le portail de sécurité PCrisk est proposé par la société RCS LT.
Des chercheurs en sécurité ont uni leurs forces pour sensibiliser les utilisateurs d'ordinateurs aux dernières menaces en matière de sécurité en ligne. Plus d'informations sur la société RCS LT.
Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.
Faire un donLe portail de sécurité PCrisk est proposé par la société RCS LT.
Des chercheurs en sécurité ont uni leurs forces pour sensibiliser les utilisateurs d'ordinateurs aux dernières menaces en matière de sécurité en ligne. Plus d'informations sur la société RCS LT.
Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.
Faire un don
▼ Montrer la discussion