{"id":23716,"date":"2026-03-16T09:58:45","date_gmt":"2026-03-16T07:58:45","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23716"},"modified":"2026-03-16T09:58:45","modified_gmt":"2026-03-16T07:58:45","slug":"beatbanker-btmob-android-malware-disguised-starlink-inss-reembolso","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/beatbanker-btmob-android-malware-disguised-starlink-inss-reembolso\/23716\/","title":{"rendered":"Un cheval de Troie Android se fait passer pour des services gouvernementaux et des applications Starlink"},"content":{"rendered":"

Pour atteindre leurs objectifs malveillants, les d\u00e9veloppeurs de programmes malveillants Android doivent surmonter plusieurs obstacles successifs\u00a0: tromper les utilisateurs pour s\u2019introduire dans leurs smartphones, contourner les logiciels de s\u00e9curit\u00e9, persuader les victimes d\u2019accorder diverses autorisations syst\u00e8me, \u00e9viter les optimiseurs de batterie int\u00e9gr\u00e9s qui neutralisent les applications gourmandes en ressources et, apr\u00e8s tout cela, assurer que leurs programmes malveillants g\u00e9n\u00e8rent r\u00e9ellement des profits. Les cr\u00e9ateurs de BeatBanker, un programme malveillant Android\u2011 r\u00e9cemment d\u00e9tect\u00e9 par nos experts, ont imagin\u00e9 une nouvelle strat\u00e9gie pour chacune de ces \u00e9tapes. L\u2019attaque vise (pour l\u2019instant) les utilisateurs br\u00e9siliens, mais les ambitions des d\u00e9veloppeurs les pousseront tr\u00e8s certainement vers une expansion internationale. Il convient donc de rester sur ses gardes et d\u2019\u00e9tudier les stratag\u00e8mes des acteurs de la menace. Vous trouverez une analyse technique compl\u00e8te de ce programme malveillant sur Securelist<\/a>.<\/p>\n

Comment BeatBanker s\u2019infiltre dans un smartphone<\/h2>\n

Le programme malveillant se diffuse par le biais de pages de phishing sp\u00e9cialement con\u00e7ues pour imiter la boutique Google Play Store. Une page que l\u2019on pourrait facilement confondre avec la boutique d\u2019applications officielle invite les utilisateurs \u00e0 t\u00e9l\u00e9charger une application qui semble utile. Dans une campagne, le cheval de Troie s\u2019est fait passer pour l\u2019application des services gouvernementaux br\u00e9siliens, INSS Reembolso, et dans une autre, il s\u2019est fait passer pour l\u2019application Starlink.<\/p>\n

<\/a>

Le site malveillant \u00a0\u00bb\u00a0cupomgratisfood{.}shop\u00a0\u00a0\u00bb imite parfaitement une boutique d\u2019applications. On ne sait pas trop pourquoi la fausse application INSS Reembolso appara\u00eet pas moins de trois fois. Pour \u00eatre vraiment s\u00fbr, peut-\u00eatre\u00a0?!<\/p><\/div>\n

L\u2019installation se d\u00e9roule en plusieurs \u00e9tapes afin d\u2019\u00e9viter de demander trop d\u2019autorisations \u00e0 la fois et de mieux d\u00e9tourner l\u2019attention de la victime. Une fois t\u00e9l\u00e9charg\u00e9e et lanc\u00e9e, la premi\u00e8re application affiche une interface qui ressemble \u00e9galement \u00e0 celle de Google Play et simule une mise \u00e0 jour de l\u2019application fictive, demandant \u00e0 l\u2019utilisateur l\u2019autorisation d\u2019installer des applications, ce qui ne semble pas anormal dans ce contexte. Si vous accordez cette autorisation, le programme malveillant t\u00e9l\u00e9charge des modules malveillants suppl\u00e9mentaires sur votre smartphone.<\/p>\n

\"Apr\u00e8s<\/a>

Apr\u00e8s son installation, le cheval de Troie simule une mise \u00e0 jour d\u2019application fictive via Google Play en demandant l\u2019autorisation d\u2019installer des applications tout en t\u00e9l\u00e9chargeant des modules malveillants suppl\u00e9mentaires au passage.<\/p><\/div>\n

Tous les composants du cheval de Troie sont chiffr\u00e9s. Avant de proc\u00e9der au d\u00e9chiffrement et aux \u00e9tapes suivantes de l\u2019infection, le virus v\u00e9rifie qu\u2019il se trouve bien sur un v\u00e9ritable smartphone et dans le pays cible. BeatBanker interrompt imm\u00e9diatement le processus s\u2019il d\u00e9tecte des anomalies ou s\u2019il constate qu\u2019il s\u2019ex\u00e9cute dans des environnements \u00e9mul\u00e9s ou d\u2019analyse. Cette particularit\u00e9 complique l\u2019analyse dynamique du programme malveillant. Par ailleurs, le faux t\u00e9l\u00e9chargeur de mise \u00e0 jour injecte des modules directement dans la m\u00e9moire vive afin d\u2019\u00e9viter de cr\u00e9er des fichiers sur le smartphone qui seraient visibles par les logiciels de s\u00e9curit\u00e9.<\/p>\n

Toutes ces tactiques sont loin d\u2019\u00eatre une nouveaut\u00e9 et sont fr\u00e9quemment utilis\u00e9es dans les programmes malveillants complexes visant les ordinateurs de bureau. Cependant, ce type de complexit\u00e9 reste rare sur les smartphones, et tous les outils de s\u00e9curit\u00e9 ne sont pas capables de le d\u00e9tecter. Les utilisateurs des produits Kaspersky<\/a>\u00a0sont prot\u00e9g\u00e9s contre cette menace.<\/p>\n

Le son comme bouclier<\/h2>\n

Une fois install\u00e9 sur le smartphone, BeatBanker t\u00e9l\u00e9charge un module permettant de miner la cryptomonnaie Monero. Les auteurs du virus craignaient fortement que les syst\u00e8mes agressifs d\u2019optimisation de la batterie des smartphones ne d\u00e9sactivent le mineur. Ils ont donc imagin\u00e9 une astuce\u00a0: diffuser en permanence un son pratiquement inaudible. Les syst\u00e8mes de contr\u00f4le de la consommation d\u2019\u00e9nergie excluent g\u00e9n\u00e9ralement les applications qui lisent des fichiers audio ou vid\u00e9o afin d\u2019\u00e9viter d\u2019interrompre la musique de fond ou les lecteurs de podcasts. Cette technique permet ainsi au programme malveillant de fonctionner en permanence. De plus, une notification s\u2019affiche en permanence dans la barre d\u2019\u00e9tat, demandant \u00e0 l\u2019utilisateur de laisser le t\u00e9l\u00e9phone allum\u00e9 afin de permettre la mise \u00e0 jour du syst\u00e8me.<\/p>\n

\"Exemple<\/a>

Exemple de notification persistante de mise \u00e0 jour syst\u00e8me provenant d\u2019une autre application malveillante se faisant passer pour l\u2019application Starlink.<\/p><\/div>\n

Contr\u00f4le via Google<\/h2>\n

Pour g\u00e9rer le cheval de Troie, les auteurs exploitent le syst\u00e8me officiel Firebase Cloud Messaging (FCM) de Google, qui permet de recevoir des notifications et d\u2019envoyer des donn\u00e9es \u00e0 partir d\u2019un smartphone. Cette fonctionnalit\u00e9 est disponible pour toutes les applications et constitue la m\u00e9thode la plus populaire pour envoyer et recevoir des donn\u00e9es. Gr\u00e2ce au syst\u00e8me FCM, les pirates peuvent surveiller l\u2019\u00e9tat de l\u2019appareil et modifier ses param\u00e8tres selon leurs besoins.<\/p>\n

Rien de particulier ne se produit pendant un certain temps apr\u00e8s l\u2019installation du programme malveillant\u00a0: les cybercriminels laissent passer le temps. Ils activent ensuite le mineur, mais prennent soin de le ralentir si le t\u00e9l\u00e9phone surchauffe, si la batterie commence \u00e0 faiblir ou si le propri\u00e9taire se sert de l\u2019appareil. Toutes ces op\u00e9rations sont g\u00e9r\u00e9es via le syst\u00e8me FCM.<\/p>\n

Vol et espionnage<\/h2>\n

En plus d\u2019exploiter un mineur de cryptomonnaies, BeatBanker installe des modules suppl\u00e9mentaires pour espionner l\u2019utilisateur et le d\u00e9pouiller au moment opportun. Le module de logiciel espion demande l\u2019autorisation d\u2019acc\u00e9der aux services d\u2019accessibilit\u00e9 et, si celle-ci lui est accord\u00e9e, il commence \u00e0 surveiller toutes les activit\u00e9s du smartphone.<\/p>\n

Si le propri\u00e9taire ouvre l\u2019application Binance ou Trust Wallet pour envoyer des USDT, le programme malveillant superpose un faux \u00e9cran sur l\u2019interface du portefeuille, rempla\u00e7ant ainsi l\u2019adresse du destinataire par la sienne. Tous les transferts profitent donc aux cybercriminels.<\/p>\n

Le cheval de Troie dispose d\u2019une fonctionnalit\u00e9 de syst\u00e8me de contr\u00f4le \u00e0 distance avanc\u00e9 et est capable d\u2019ex\u00e9cuter de nombreuses autres commandes\u00a0:<\/p>\n