{"id":33292,"date":"2026-03-18T17:41:51","date_gmt":"2026-03-18T15:41:51","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=33292"},"modified":"2026-03-18T17:41:51","modified_gmt":"2026-03-18T15:41:51","slug":"beatbanker-btmob-android-malware-disguised-starlink-inss-reembolso","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/beatbanker-btmob-android-malware-disguised-starlink-inss-reembolso\/33292\/","title":{"rendered":"Android-Trojaner, die sich als Beh\u00f6rdendienste und Starlink-Apps tarnen"},"content":{"rendered":"

Auch der Weg zu b\u00f6sartigen Zielen ist lang und beschwerlich, und Entwickler von Android-Malware m\u00fcssen dabei viele Herausforderungen meistern: Nutzer austricksen, um in Smartphones einzudringen, Sicherheitssoftware umgehen, Opfer dazu \u00fcberreden, der Malware verschiedene Systemberechtigungen zu erteilen, integrierte Akku-Optimierer, die Ressourcenfresser blockieren, \u00fcberlisten, und schlie\u00dflich daf\u00fcr sorgen, dass die Malware tats\u00e4chlich Gewinn abwirft. K\u00fcrzlich haben unsere Experten die Android\u2011basierte Malware-Kampagne BeatBanker entdeckt, und deren Sch\u00f6pfer waren bei jedem der genannten Schritte wahrlich kreativ. Der Angriff richtet sich (vorerst) gegen brasilianische Nutzer. Die Entwickler wirken aber so ehrgeizig, dass sie mit ziemlicher Sicherheit eine internationale Expansion planen. Es lohnt sich also, auf der Hut zu sein und die Tricks dieser Angreifer zu studieren. Eine vollst\u00e4ndige technische Analyse dieses Sch\u00e4dlings findest du auf Securelist<\/a>.<\/p>\n

Wie BeatBanker ein Smartphone infiltriert<\/h2>\n

Die Malware wird \u00fcber speziell gestaltete Phishing-Seiten verbreitet, die Google Play Store nachempfunden sind. Eine Seite, die leicht mit dem offiziellen App-Shop verwechselt werden kann, l\u00e4dt Nutzer dazu ein, eine scheinbar n\u00fctzliche App herunterzuladen. In einer Kampagne tarnte sich der Trojaner als \u201eINSS Reembolso\u201c, die brasilianische App f\u00fcr Beh\u00f6rdendienste. Bei einer anderen Kampagne gab er sich als Starlink-App aus.<\/p>\n

\"Die<\/a>

Die b\u00f6sartige Website cupomgratisfood{.}shop imitiert gekonnt einen App-Shop. Nur unklar, warum die gef\u00e4lschte App \u201eINSS Reembolso\u201c dreimal auftaucht. Vielleicht, um ganz sicher zu gehen?!<\/p><\/div>\n

Die Installation erfolgt ganz sachte in mehreren Schritten. Dadurch wird vermieden, dass zu viele Berechtigungen gleichzeitig angefordert werden und das Opfer Verdacht sch\u00f6pft. Nachdem die erste App heruntergeladen und gestartet wurde, zeigt sie eine Benutzeroberfl\u00e4che an, die ebenfalls Google Play \u00e4hnelt. Dort wird ein Update f\u00fcr die Lockvogel-App simuliert. Der Nutzer wird um die Erlaubnis zur App-Installation gebeten, was in diesem Kontext nicht ungew\u00f6hnlich wirkt. Wenn diese Berechtigung erteilt wird, l\u00e4dt die Malware weitere b\u00f6sartige Module auf das Smartphone herunter.<\/p>\n

\"Nach<\/a>

Nach der Installation simuliert der Trojaner das Update einer Lockvogel-App \u00fcber Google Play. Die Erlaubnis zur App-Installation wird angefordert und zus\u00e4tzliche sch\u00e4dliche Module werden heruntergeladen.<\/p><\/div>\n

Alle Komponenten des Trojaners sind verschl\u00fcsselt. Bevor Module entschl\u00fcsselt werden und die n\u00e4chsten Infektionsstadien beginnen, \u00fcberpr\u00fcft der Trojaner, ob er auf einem echten Smartphone gelandet ist und ob sich das Ger\u00e4t im gew\u00fcnschten Land befindet. Wenn BeatBanker Ungereimtheiten findet oder feststellt, dass er in einer Emulations- oder Analyseumgebung ausgef\u00fchrt wird, bricht der Prozess sofort ab. Dies erschwert eine dynamische Analyse der Malware. Zudem injiziert der gef\u00e4lschte Update-Downloader seine Module direkt in den Arbeitsspeicher. So wird verhindert, dass auf dem Smartphone Dateien angelegt werden, die f\u00fcr Sicherheitsprogramme sichtbar w\u00e4ren.<\/p>\n

All diese Tricks sind nicht neu und werden h\u00e4ufig in komplexer Malware f\u00fcr Desktop-Computer eingesetzt. Bei Angriffen auf Smartphones ist eine solche Raffinesse jedoch eher eine Seltenheit, und nicht jedes Sicherheitstool kann sie durchschauen. Nutzer von Kaspersky-Produkten<\/a>\u00a0sind vor dieser Bedrohung gesch\u00fctzt.<\/p>\n

Hintergrundmusik als Schutzschild<\/h2>\n

Sobald BeatBanker es sich im Smartphone gem\u00fctlich gemacht hat, l\u00e4dt er ein Mining-Modul f\u00fcr die Kryptow\u00e4hrung Monero herunter. Die Angreifer haben wirklich an alles gedacht. Auch an wachsame Akku-Optimierungssysteme des Smartphones, die dem Miner das Handwerk legen k\u00f6nnten. Der passende Trick: Es wird ein fast unh\u00f6rbarer Sound abgespielt. Apps, die Audio oder Video wiedergeben, werden von solchen Energiesparsystemen normalerweise verschont. Dies vermeidet, dass Hintergrundmusik oder Podcast-Player geblockt werden. Dadurch kann aber auch diese Malware ungest\u00f6rt ausgef\u00fchrt werden. Dar\u00fcber hinaus wird in der Statusleiste permanent eine Benachrichtigung angezeigt: Der Nutzer wird aufgefordert, das Telefon wegen eines laufenden System-Updates eingeschaltet zu lassen.<\/p>\n

\"Eine<\/a>

Eine andere b\u00f6sartige App, die sich als Starlink-App ausgibt, zeigt dauerhaft eine Benachrichtigung an: Angeblich wird ein System-Update ausgef\u00fchrt<\/p><\/div>\n

Steuerung \u00fcber Google<\/h2>\n

Zur Steuerung des Trojaners verwenden die Angreifer das legitime Firebase Cloud Messaging (FCM), ein Google-System zum Senden von Benachrichtigungen und Datennachrichten an Smartphones. Diese Funktion steht allen Apps zur Verf\u00fcgung und ist die beliebteste Methode zum Senden und Empfangen von Daten. \u00dcber FCM k\u00f6nnen Angreifer den Ger\u00e4testatus \u00fcberwachen und bei Bedarf die Einstellungen \u00e4ndern.<\/p>\n

Nachdem die Malware installiert ist, passiert erst einmal nichts Schlimmes: Die Angreifer sind in Wartestellung. Dann starten sie den Miner, drosseln ihn aber, wenn das Telefon zu hei\u00df wird, der Akku fast leer ist oder der Besitzer das Ger\u00e4t aktiv nutzt. All dies wird \u00fcber FCM gesteuert.<\/p>\n

Diebstahl und Spionage<\/h2>\n

Neben einem Krypto-Miner installiert BeatBanker zus\u00e4tzliche Module, um den Nutzer auszuspionieren und im richtigen Moment zuzuschlagen. Ein Spyware-Modul fragt nach der Berechtigung f\u00fcr Bedienungshilfen. Wenn diese gew\u00e4hrt wird, werden die Vorg\u00e4nge auf dem Smartphone komplett \u00fcberwacht.<\/p>\n

Wenn der Besitzer die Binance- oder Trust Wallet-App \u00f6ffnet, um USDT zu \u00fcberweisen, zeigt die Malware einen gef\u00e4lschten Bildschirm \u00fcber der Wallet-Benutzeroberfl\u00e4che an und tauscht die Adresse des Empf\u00e4ngers durch ihre eigene aus. Dann gehen alle \u00dcberweisungen an die Angreifer.<\/p>\n

Der Trojaner verf\u00fcgt \u00fcber eine komplexe Fernbedienung, die auch viele andere Befehle unterst\u00fctzt:<\/p>\n