BeatBanker: Neue Android-Malware nutzt Audio-Loop als Tarnkappe

Sicherheitsforscher haben eine hochgefährliche Android-Malware entdeckt. "BeatBanker" tarnt sich als Starlink- oder Regierungs-Apps und kombiniert Banking-Trojaner, Krypto-Mining und Spionage.

Die Malware nutzt einen ungewöhnlichen Trick, um unentdeckt zu bleiben: Sie spielt einen leisen Audio-Loop ab. So trickst sie die Stromsparmechanismen von Android aus und verhindert, dass ihr Prozess beendet wird.

Da sich moderne Schädlinge wie BeatBanker immer raffinierter tarnen, sollten Android-Nutzer ihre Geräte proaktiv absichern. Dieser kostenlose Ratgeber zeigt Ihnen in einfachen Schritt-für-Schritt-Anleitungen, wie Sie WhatsApp, Banking und Ihre persönlichen Daten wirksam schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Der lautlose Trick: Eine MP3 als Tarnkappe

Analysen von Kaspersky zeigen, wie BeatBanker vorgeht. Die Malware spielt eine fünf Sekunden lange MP3 mit chinesischen Sprachfetzen in Endlosschleife. Für das Betriebssystem sieht es so aus, als würde der Nutzer Medien konsumieren. Dadurch deaktiviert Android seine Energiesparfunktionen für den schädlichen Prozess.

Zusätzlich tarnt sich die Software mit gefälschten Systembenachrichtigungen. Vor der Ausführung prüft sie, ob sie in einer Analyseumgebung steckt. Ist das der Fall, beendet sie sich selbst. Den Schadcode lädt BeatBanker direkt in den Arbeitsspeicher – ohne Spuren im Dateisystem zu hinterlassen.

Doppelte Abzocke: Mining und gestohlene Krypto

BeatBanker will maximalen Profit. Ein eingebauter Miner schürft heimlich die Kryptowährung Monero. Um nicht aufzufallen, überwacht die Malware Akku, Temperatur und Nutzeraktivität. Sobald das Smartphone aktiv genutzt wird, pausiert das Mining.

Gleichzeitig jagt der Trojaner Zugangsdaten. Mit erschlichenen Berechtigungen überwacht er Apps wie Binance oder Trust Wallet. Bei Transaktionen legt er unsichtbare Bildschirme über die echte App. So leitet er Kryptowährungen wie USDT unbemerkt auf die Wallets der Angreifer um.

Totale Kontrolle durch Spionage-Modul

Die Cyberkriminellen rüsten nach. In aktuellen Angriffswellen ersetzen sie das Banking-Modul durch den Remote-Access-Trojaner "BTMOB". Dieses Spionagewerkzeug wird als Dienstleistung in Untergrundforen verkauft. Es gibt den Angreifern die totale Kontrolle über das infizierte Smartphone.

Der RAT kann Tastatureingaben aufzeichnen, den Bildschirm abgreifen und die Kamera aktivieren. Er verfolgt den GPS-Standort in Echtzeit und fängt Entsperr-Codes ab. Im Notfall löschen die Täter alle Spuren: Ein Fernbefehl setzt das Gerät auf Werkseinstellungen zurück.

Herkömmliche Sicherheits-Updates allein reichen oft nicht aus, um komplexe Spionage-Software frühzeitig zu erkennen. Erfahren Sie in diesem kompakten Leitfaden, welche fünf spezifischen Einstellungen Ihr Smartphone spürbar sicherer gegen den Zugriff durch Dritte machen. Kostenlosen Android-Sicherheits-Ratgeber herunterladen

Gefälschte Stores locken mit Starlink-Köder

Die Verbreitung läuft über täuschend echte Kopien des Google Play Stores. Zunächst zielten die Angreifer auf Brasilien und tarnten die Malware als offizielle Regierungs-App "INSS Reembolso". Jetzt nutzen sie zunehmend die globale Marke Starlink als Köder.

Opfer landen auf gefälschten Seiten und werden zum Download einer angeblichen Starlink-Steuerungs-App aufgefordert. Diese fordert weitreichende Rechte an. Im Hintergrund lädt sie dann die schädlichen Module nach – für den Nutzer unsichtbar.

Modulare Plattformen sind die neue Gefahr

Experten sehen in BeatBanker einen Wendepunkt. Mobile Bedrohungen entwickeln sich von einfachen Programmen zu komplexen, modularen Plattformen. Die Angreifer diversifizieren ihre Einnahmequellen: Selbst ohne Bankdaten generiert das geschürfte Monero Gewinne.

Die Wahl globaler Marken wie Starlink zeigt die Expansionsabsicht. Die soziale Komponente ist dabei entscheidend: Das Vorgaukeln vertrauter Umgebungen wie dem Play Store wirkt oft besser als das Ausnutzen technischer Lücken.

Wie können sich Nutzer schützen?

Die effektivste Verteidigung ist Wachsamkeit. Apps sollten nur aus offiziellen Quellen wie dem echten Google Play Store stammen. Besondere Vorsicht ist geboten, wenn Anwendungen unnötig weitreichende Berechtigungen fordern – besonders für Bedienungshilfen.

Warnsignale sind auch unerklärliche Leistungseinbrüche, starke Hitzeentwicklung oder ein schnell leerer Akku. Regelmäßige Kontrollen der installierten Apps und ihrer Berechtigungen sind unerlässlich, um solche wandlungsfähigen Bedrohungen früh zu erkennen.