Hoe verwijder je BeatBanker van Android-apparaten

Wat voor soort malware is BeatBanker?

BeatBanker is Android-malware die wordt verspreid via valse websites die zich voordoen als de Google Play Store. Het fungeert als een banktrojan die apparaten kaapt en schermen vervalst, en als een cryptocurrency-miner. Als BeatBanker op een apparaat wordt gedetecteerd, moet het zo snel mogelijk worden verwijderd om financiële verliezen en andere gevolgen te voorkomen.

Overzicht van BeatBanker

Wanneer de BeatBanker-malware voor het eerst wordt uitgevoerd, controleert deze basisgegevens over het netwerk, zoals het IP-adres van het apparaat, of het om een mobiele telefoon gaat, of de gebruiker een VPN gebruikt, en andere relevante netwerkinformatie. In plaats van de schadelijke code als bestanden op de telefoon op te slaan, laadt BeatBanker de code rechtstreeks in het geheugen van het apparaat.

Omdat er geen bestanden naar het apparaat worden geschreven, is het voor beveiligingsapps moeilijker om BeatBanker te detecteren. Bovendien controleert de malware of deze in een test- of analyseomgeving (bijvoorbeeld een emulator) wordt uitgevoerd. Als dat het geval is, sluit de malware zichzelf onmiddellijk af om te voorkomen dat deze wordt geanalyseerd.

Vervolgens toont BeatBanker een valse pagina die lijkt op de Google Play Store voor INSS Reembolso, waarbij wordt beweerd dat er een update beschikbaar is. Wanneer het slachtoffer op "Update" tikt, vraagt de malware toestemming om apps te installeren en downloadt hij verborgen schadelijke componenten. In plaats van de echte Google Play Store te gebruiken, installeert hij deze bestanden rechtstreeks met behulp van speciale machtigingen.

Om actief te blijven, houdt de malware een valse melding over een systeemupdate op het scherm en draait er een service op de voorgrond met stille mediareproductie, waardoor wordt voorkomen dat het systeem de malware kan stoppen. Bovendien downloadt de malware, wanneer het slachtoffer op „Update“ klikt op het valse scherm van de Google Play Store, in het geheim een bestand dat cryptomining-software bevat.

De gedownloade cryptominer (een aangepaste versie van XMRig) gebruikt de CPU van de telefoon van het slachtoffer om cryptovaluta te minen voor de aanvallers. BeatBanker kan de batterijstatus, de temperatuur en de gebruikersactiviteit van de telefoon controleren om te bepalen wanneer de cryptominer moet worden gestart of gestopt.

Bankmodule

BeatBanker maakt naast de cryptominer ook gebruik van een banktrojan. Het probeert het slachtoffer te misleiden om toegangsrechten te verlenen, waardoor cybercriminelen de interface van het apparaat kunnen overnemen. De malware controleert welke apps er openstaan en richt zich op Binance en Trust Wallet (met name op USDT-transacties).

Wanneer het slachtoffer geld probeert over te maken, wordt het transactiescherm overschreven door een valse pagina en wordt het adres van de ontvanger stiekem gewijzigd in dat van de cybercrimineel. Door dergelijke technieken te gebruiken, proberen cybercriminelen slachtoffers te laten geloven dat ze cryptovaluta naar het door hen opgegeven adres sturen, terwijl de cryptovaluta in werkelijkheid naar de cybercriminelen wordt gestuurd.

Bovendien controleert de bankmodule van BeatBanker of Brave, Chrome, Dolphin Browser, DuckDuckGo, Edge, Firefox, Opera en sBrowser zijn geïnstalleerd. Vervolgens registreert het de websites die het slachtoffer bezoekt en kan het opgeslagen links in de standaardbrowser beheren (toevoegen, bewerken, verwijderen, weergeven) en door de aanvallers verstrekte links openen.

Ondersteunde opdrachten

BeatBanker kan opdrachten ontvangen van de C2-server en diverse schadelijke acties uitvoeren op het geïnfecteerde apparaat. Het kan valse software-updates weergeven, het scherm vergrendelen, gegevens van het klembord kopiëren, audio-opnames inventariseren (en deze naar cybercriminelen verzenden), links in browsers openen, inloggegevens bijwerken en sms-berichten versturen.

Bovendien kan het alle gegevens wissen (een fabrieksreset uitvoeren), bestanden verwijderen of zichzelf verwijderen. BeatBanker kan ook registreren wat de gebruiker typt, tekst van het scherm lezen, schermafbeeldingen maken en het scherm in realtime streamen. Daarnaast kan het apps monitoren, applicaties blokkeren of toestaan via een ingebouwde firewall, permanente meldingen genereren en een VPN-verbinding beheren.

Het is belangrijk om te weten dat BeatBanker verschillende machtigingen kan vragen, zoals toegang tot de toegankelijkheidsfuncties, de mogelijkheid om over andere apps heen te tekenen en toestemming om apps van onbekende bronnen te installeren. Met deze machtigingen kan de app automatisch op het scherm tikken of vegen, links openen, USSD-codes uitvoeren en extra apps installeren.

Nieuwe variant

Er is een nieuwe variant van BeatBanker, vermomd als een valse StarLink-app, die zich ook op Android-gebruikers richt. Deze versie bevat eveneens een cryptominer, maar installeert de banktrojan niet. In plaats daarvan installeert hij de BTMOB-trojan voor beheer op afstand (RAT). Met BTMOB kunnen aanvallers geïnfecteerde apparaten volledig overnemen en wordt verkocht als Malware-as-a-Service (MaaS).

Conclusie

BeatBanker is Android-malware die cryptovaluta kan minen, bankgegevens kan stelen en het mogelijk maakt apparaten op afstand te bedienen. De malware maakt gebruik van technieken om zich permanent te verbergen en verborgen machtigingen om onopgemerkt te blijven terwijl gevoelige gegevens worden verzameld en de activiteiten van gebruikers worden gevolgd. Sommige varianten installeren ook BTMOB, waardoor aanvallers volledige toegang en langdurige controle krijgen over geïnfecteerde apparaten.

Andere voorbeelden van malware die op Android-apparaten is gericht, zijn Massiv, PromptSpy en Oblivion.

Hoe is BeatBanker op mijn apparaat terechtgekomen?

BeatBanker infecteert apparaten via een valse website die lijkt op de Google Play Store. Gebruikers worden misleid om een schadelijke app te installeren die zich voordoet als INSS Reembolso of een andere valse overheidsapp. Een apparaat raakt geïnfecteerd zodra de gebruiker een valse app installeert. Zodra BeatBanker actief is, downloadt het aanvullende componenten, zoals een cryptominer.

Hoe voorkom je dat er malware wordt geïnstalleerd?

Houd je besturingssysteem en apps up-to-date en download alleen software van betrouwbare bronnen, zoals officiële websites of app-winkels. Wees voorzichtig met onverwachte e-mails of berichten en klik niet op links of open geen bijlagen, tenzij je zeker weet dat ze veilig zijn.

Klik tijdens het surfen niet op pop-ups, advertenties of links op verdachte websites, en wijs meldingsverzoeken van onbetrouwbare sites af. Scan uw apparaat regelmatig met betrouwbare beveiligingssoftware om mogelijke bedreigingen op te sporen en te verwijderen.

Het beheerderspaneel van BeatBanker (bron: securelist.com):

Door BeatBanker weergegeven overlays (bron: securelist.com):

Snelmenu:

• Inleiding
• Hoe verwijder je de browsegeschiedenis uit de Chrome-webbrowser?
• Hoe schakel je meldingen uit in de Chrome-webbrowser?
• Hoe reset je de Chrome-webbrowser?
• Hoe verwijder je de browsegeschiedenis uit de Firefox-webbrowser?
• Hoe schakel je meldingen uit in de Firefox-webbrowser?
• Hoe reset je de Firefox-webbrowser?
• Hoe verwijder je mogelijk ongewenste en/of schadelijke programma’s?
• Hoe start ik het Android-apparaat op in de "veilige modus"?
• Hoe controleer je het batterijverbruik van verschillende apps?
• Hoe controleer je het dataverbruik van verschillende apps?
• Hoe installeer ik de nieuwste software-updates?
• Hoe zet ik het systeem terug naar de standaardinstellingen?
• Hoe schakel je programma’s met beheerdersrechten uit?

De browsegeschiedenis uit de Chrome-webbrowser verwijderen:

Tik op de knop "Menu" (de drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het dropdownmenu dat verschijnt.

Tik op "Browsegegevens wissen", selecteer het tabblad "GEAVANCEERD", kies de periode en de soorten gegevens die je wilt verwijderen en tik op "Gegevens wissen".

[Terug naar de inhoudsopgave]

Browsermeldingen uitschakelen in de Chrome-webbrowser:

Tik op de knop "Menu" (de drie puntjes rechtsboven in het scherm) en selecteer "Instellingen" in het dropdownmenu dat verschijnt.

Scroll naar beneden tot je de optie "Site-instellingen" ziet en tik erop. Scroll naar beneden tot je de optie "Meldingen" ziet en tik erop.

Zoek de websites die browsermeldingen versturen, tik erop en klik op "Wissen en resetten". Hiermee worden de machtigingen ingetrokken die aan deze websites zijn verleend om meldingen te versturen. Als je dezelfde site echter opnieuw bezoekt, kan er opnieuw om toestemming worden gevraagd. U kunt kiezen of u deze machtigingen wilt verlenen of niet (als u ervoor kiest om te weigeren, gaat de website naar de sectie "Geblokkeerd" en zal deze u niet langer om toestemming vragen).

[Terug naar de inhoudsopgave]

De Chrome-webbrowser opnieuw instellen:

Ga naar "Instellingen", scroll naar beneden tot je "Apps" ziet en tik erop.

Scroll naar beneden tot je de app "Chrome" ziet, selecteer deze en tik op de optie "Opslag".

Tik op "OPSLAG BEHEREN", vervolgens op "ALLE GEGEVENS WISSEN" en bevestig de actie door op "OK" te tikken. Houd er rekening mee dat het resetten van de browser alle daarin opgeslagen gegevens verwijdert. Dit betekent dat alle opgeslagen gebruikersnamen en wachtwoorden, de browsegeschiedenis, niet-standaardinstellingen en andere gegevens worden gewist. U zult zich ook opnieuw moeten aanmelden bij alle websites.

[Terug naar de inhoudsopgave]

De browsegeschiedenis uit de Firefox-webbrowser verwijderen:

Tik op de knop "Menu" (de drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het dropdownmenu dat verschijnt.

Scroll naar beneden tot je "Privégegevens wissen" ziet en tik erop. Selecteer de soorten gegevens die je wilt verwijderen en tik op "GEGEVENS WISSEN".

[Terug naar de inhoudsopgave]

Browsermeldingen uitschakelen in de Firefox-webbrowser:

Ga naar de website die browsermeldingen verstuurt, tik op het pictogram links van de adresbalk (dit pictogram hoeft niet per se een "Slot" te zijn) en selecteer "Site-instellingen bewerken".

Selecteer in het geopende pop-upvenster de optie "Meldingen" en tik op "WISSEN".

[Terug naar de inhoudsopgave]

De Firefox-webbrowser opnieuw instellen:

Ga naar "Instellingen", scroll naar beneden tot je "Apps" ziet en tik erop.

Scroll naar beneden tot je de app "Firefox" ziet, selecteer deze en tik op de optie "Opslag".

Tik op "GEGEVENS WISSEN" en bevestig de actie door op "VERWIJDEREN" te tikken. Houd er rekening mee dat het resetten van de browser alle daarin opgeslagen gegevens verwijdert. Dit betekent dat alle opgeslagen gebruikersnamen en wachtwoorden, de browsegeschiedenis, aangepaste instellingen en andere gegevens worden verwijderd. Je zult je ook opnieuw moeten aanmelden bij alle websites.

[Terug naar de inhoudsopgave]

Verwijder mogelijk ongewenste en/of schadelijke programma’s:

Ga naar "Instellingen", scroll naar beneden tot je "Apps" ziet en tik erop.

Scroll naar beneden totdat je een mogelijk ongewenste en/of schadelijke app ziet, selecteer deze en tik op "Verwijderen". Als je de geselecteerde app om welke reden dan ook niet kunt verwijderen (bijvoorbeeld omdat er een foutmelding verschijnt), kun je het beste de "Veilige modus" gebruiken.

[Terug naar de inhoudsopgave]

Start het Android-apparaat op in de "veilige modus":

De "Veilige modus" in het Android-besturingssysteem schakelt tijdelijk alle apps van derden uit. Het gebruik van deze modus is een goede manier om diverse problemen op te sporen en op te lossen (bijvoorbeeld om schadelijke apps te verwijderen die je hieraan verhinderen wanneer het apparaat "normaal" functioneert).

Houd de knop "Power" ingedrukt totdat het scherm "Power off" verschijnt. Tik op het pictogram "Power off" en houd het ingedrukt. Na enkele seconden verschijnt de optie "Safe Mode" en kunt u deze starten door het apparaat opnieuw op te starten.

[Terug naar de inhoudsopgave]

Controleer het batterijverbruik van verschillende apps:

Ga naar "Instellingen", scroll naar beneden tot je "Apparaatonderhoud" ziet en tik erop.

Tik op "Batterij" en controleer het batterijverbruik van elke app. Legitieme apps zijn zo ontworpen dat ze zo min mogelijk energie verbruiken, om de beste gebruikerservaring te bieden en energie te besparen. Een hoog batterijverbruik kan daarom erop wijzen dat de app schadelijk is.

[Terug naar de inhoudsopgave]

Bekijk het dataverbruik van verschillende apps:

Ga naar "Instellingen", scroll naar beneden tot je "Verbindingen" ziet en tik erop.

Scroll naar beneden totdat je "Dataverbruik" ziet en selecteer deze optie. Net als bij de batterij zijn legitieme/echte apps zo ontworpen dat ze het dataverbruik zoveel mogelijk beperken. Dit betekent dat een enorm dataverbruik kan duiden op de aanwezigheid van een kwaadaardige app. Houd er rekening mee dat sommige kwaadaardige apps zo zijn ontworpen dat ze alleen werken wanneer het apparaat is verbonden met een draadloos netwerk. Controleer daarom zowel het mobiele als het wifi-dataverbruik.

Als je een app tegenkomt die veel data verbruikt, ook al gebruik je die nooit, raden we je ten zeerste aan om deze zo snel mogelijk te verwijderen.

[Terug naar de inhoudsopgave]

Installeer de nieuwste software-updates:

Het is een goede gewoonte om de software up-to-date te houden als het gaat om de veiligheid van je apparaat. De fabrikanten brengen voortdurend verschillende beveiligingspatches en Android-updates uit om fouten en bugs te verhelpen die door cybercriminelen kunnen worden misbruikt. Een verouderd systeem is veel kwetsbaarder, en daarom moet je er altijd voor zorgen dat de software van je apparaat up-to-date is.

Ga naar "Instellingen", scroll naar beneden tot je "Software-update" ziet en tik erop.

Tik op "Updates handmatig downloaden" en kijk of er updates beschikbaar zijn. Zo ja, installeer deze dan meteen. We raden ook aan om de optie "Updates automatisch downloaden" in te schakelen. Hierdoor krijgt u een melding zodra er een update beschikbaar is en/of wordt deze automatisch geïnstalleerd.

[Terug naar de inhoudsopgave]

Zet het systeem terug naar de standaardinstellingen:

Het uitvoeren van een "fabrieksreset" is een goede manier om alle ongewenste apps te verwijderen, de systeeminstellingen terug te zetten naar de standaardinstellingen en het apparaat in het algemeen op te schonen. Houd er echter rekening mee dat alle gegevens op het apparaat worden gewist, inclusief foto’s, video- en audiobestanden, telefoonnummers (die op het apparaat zijn opgeslagen, niet op de simkaart), sms-berichten, enzovoort. Met andere woorden: het apparaat wordt teruggezet naar de oorspronkelijke staat.

U kunt ook de basisinstellingen van het systeem en/of alleen de netwerkinstellingen herstellen.

Ga naar "Instellingen", scroll naar beneden tot je "Over de telefoon" ziet en tik erop.

Scroll naar beneden tot je "Reset" ziet en tik erop. Kies nu de actie die je wilt uitvoeren:
"Instellingen resetten" - alle systeeminstellingen terugzetten naar de standaardinstellingen;
"Netwerkinstellingen resetten" - alle netwerkgerelateerde instellingen terugzetten naar de standaardinstellingen;
"Fabrieksinstellingen herstellen" - het hele systeem resetten en alle opgeslagen gegevens volledig verwijderen;

[Terug naar de inhoudsopgave]

Schakel toepassingen uit die beheerdersrechten hebben:

Als een schadelijke app beheerdersrechten krijgt, kan dit ernstige schade aan het systeem toebrengen. Om het apparaat zo veilig mogelijk te houden, moet je altijd controleren welke apps dergelijke rechten hebben en de apps uitschakelen die deze rechten niet zouden mogen hebben.

Ga naar "Instellingen", scroll naar beneden tot je "Vergrendelingsscherm en beveiliging" ziet en tik erop.

Scroll naar beneden tot je "Overige beveiligingsinstellingen" ziet, tik erop en tik vervolgens op "Apps met apparaatbeheerdersrechten".

Zoek de apps die geen beheerdersrechten zouden moeten hebben, tik erop en tik vervolgens op "DEACTIVEREN".

Veelgestelde vragen (FAQ)

Mijn apparaat is geïnfecteerd met BeatBanker-malware. Moet ik mijn opslagapparaat formatteren om het te verwijderen?

Hiermee wordt BeatBanker verwijderd, maar worden ook alle gegevens van het apparaat gewist. Gebruik deze optie daarom alleen als laatste redmiddel. Voordat u dit doet, is het raadzaam om een volledige scan uit te voeren met betrouwbare beveiligingssoftware, zoals Combo Cleaner.

Wat zijn de grootste problemen die malware kan veroorzaken?

Malware kan een apparaat vertragen, systeemstoringen veroorzaken, bestanden verwijderen of versleutelen en extra schadelijke programma’s installeren. Daarnaast kan malware persoonlijke gegevens stelen, aanvallers op afstand toegang tot het systeem geven en andere schadelijke acties uitvoeren.

Wat is het doel van BeatBanker?

Het doel van BeatBanker is om cryptovaluta te stelen, cryptovaluta te minen via het apparaat van het slachtoffer en aanvallers op afstand controle te geven over het geïnfecteerde apparaat.

Hoe is BeatBanker op mijn apparaat terechtgekomen?

BeatBanker dringt meestal een apparaat binnen wanneer een gebruiker een valse app downloadt en installeert via een niet-officiële website van de Google Play Store. Deze apps doen zich vaak voor als legitieme diensten en gebruiken valse updates om de gebruiker te misleiden en toestemming te verkrijgen. Eenmaal geïnstalleerd draait de malware op de achtergrond en downloadt hij extra schadelijke componenten.

Beschermt Combo Cleaner mij tegen malware?

Ja, Combo Cleaner kan veel bekende soorten malware opsporen en verwijderen. Toch kunnen sommige geavanceerde bedreigingen zich diep in het systeem verschuilen, dus wordt het aanbevolen om een volledige systeemscan uit te voeren.