So entfernen Sie BeatBanker von Android-Geräten

Was für eine Art von Malware ist BeatBanker?

BeatBanker ist eine Android-Malware, die über gefälschte Websites verbreitet wird, die sich als Google Play Store tarnen. Sie fungiert als Banking-Trojaner, der Geräte kapert und Bildschirme manipuliert, sowie als Kryptowährungs-Miner. Wird BeatBanker auf einem Gerät entdeckt, sollte es so schnell wie möglich entfernt werden, um finanzielle Verluste und andere Folgen zu vermeiden.

BeatBanker im Überblick

Beim ersten Start überprüft die BeatBanker-Malware grundlegende Netzwerkdaten wie die IP-Adresse des Geräts, ob es sich um ein Mobiltelefon handelt, ob der Nutzer ein VPN verwendet, sowie weitere relevante Netzwerkinformationen. Anstatt ihren Schadcode als Dateien auf dem Telefon zu speichern, lädt BeatBanker den Code direkt in den Speicher des Geräts.

Da keine Dateien auf das Gerät geschrieben werden, ist es für Sicherheitsanwendungen schwieriger, BeatBanker zu erkennen. Zudem prüft die Malware, ob sie in einer Test- oder Analyseumgebung (z. B. einem Emulator) ausgeführt wird. Stellt sie dies fest, beendet sie sich sofort, um einer Analyse zu entgehen.

Anschließend zeigt BeatBanker eine gefälschte Seite an, die wie der Google Play Store für INSS Reembolso aussieht, und behauptet, ein Update sei verfügbar. Wenn das Opfer auf „Aktualisieren“ tippt, fordert die Malware die Berechtigung zur Installation von Apps an und lädt versteckte schädliche Komponenten herunter. Anstatt den echten Google Play Store zu nutzen, installiert sie diese Dateien mithilfe spezieller Berechtigungen direkt.

Um aktiv zu bleiben, hält die Malware eine gefälschte Benachrichtigung über ein System-Update auf dem Bildschirm und führt einen Vordergrunddienst mit stiller Medienwiedergabe aus, wodurch verhindert wird, dass das System sie beendet. Wenn das Opfer zudem auf dem gefälschten Google Play Store-Bildschirm auf „Aktualisieren“ klickt, lädt die Malware heimlich eine Datei herunter, die Cryptomining-Software enthält.

Der heruntergeladene Krypto-Miner (eine modifizierte Version von XMRig) nutzt die CPU des Opfers, um für die Angreifer Kryptowährung zu schürfen. BeatBanker kann den Akkustand, die Temperatur und die Nutzeraktivität des Telefons überprüfen, um zu entscheiden, wann der Krypto-Miner gestartet oder gestoppt werden soll.

Bankmodul

BeatBanker setzt neben dem Krypto-Miner auch einen Banking-Trojaner ein. Er versucht, das Opfer dazu zu verleiten, Zugriffsrechte zu erteilen, wodurch Cyberkriminelle die Kontrolle über die Benutzeroberfläche des Geräts erlangen. Die Malware überprüft, welche Apps geöffnet sind, und zielt gezielt auf Binance und Trust Wallet ab (mit Schwerpunkt auf USDT-Transaktionen).

Wenn das Opfer versucht, Geld zu überweisen, wird der Transaktionsbildschirm durch eine gefälschte Seite überlagert, und die Empfängeradresse wird heimlich auf die des Betreibers geändert. Mit solchen Techniken versuchen Cyberkriminelle, den Opfern vorzugaukeln, sie würden Kryptowährung an die von ihnen angegebene Adresse senden, doch tatsächlich geht die Kryptowährung an die Angreifer.

Darüber hinaus prüft das Banking-Modul von BeatBanker, ob Brave, Chrome, Dolphin Browser, DuckDuckGo, Edge, Firefox, Opera und sBrowser installiert sind. Anschließend erfasst es die von dem Opfer besuchten Websites und kann die im Standardbrowser gespeicherten Links verwalten (hinzufügen, bearbeiten, löschen, auflisten) sowie von den Angreifern bereitgestellte Links öffnen.

Unterstützte Befehle

BeatBanker kann Befehle vom C2-Server empfangen und verschiedene schädliche Aktionen auf dem infizierten Gerät ausführen. Es kann gefälschte Software-Updates anzeigen, den Bildschirm sperren, Daten aus der Zwischenablage abgreifen, Audioaufnahmen auflisten (und an Cyberkriminelle senden), Links in Browsern öffnen, Anmeldedaten aktualisieren und SMS versenden.

Darüber hinaus kann es alle Daten löschen (ein Werksreset durchführen), Dateien löschen oder sich selbst deinstallieren. BeatBanker kann zudem die Tastatureingaben des Benutzers aufzeichnen, Text vom Bildschirm auslesen, Screenshots erstellen und den Bildschirm in Echtzeit streamen. Außerdem kann es Apps überwachen, Anwendungen über eine integrierte Firewall blockieren oder zulassen, dauerhafte Benachrichtigungen erstellen und eine VPN-Verbindung steuern.

Es ist wichtig zu beachten, dass BeatBanker verschiedene Berechtigungen anfordern kann, darunter den Zugriff auf die Eingabehilfen, die Möglichkeit, über andere Apps hinweg zu zeichnen, sowie die Berechtigung, Apps aus unbekannten Quellen zu installieren. Mit diesen Berechtigungen kann die App automatisch auf den Bildschirm tippen oder darüber wischen, Links öffnen, USSD-Codes ausführen und zusätzliche Apps installieren.

Neue Variante

Es gibt eine neue Variante von BeatBanker, die als gefälschte StarLink-App getarnt ist und ebenfalls auf Android-Nutzer abzielt. Diese Version enthält ebenfalls einen Krypto-Miner, installiert jedoch nicht den Banking-Trojaner. Stattdessen wird der Fernwartungs-Trojaner (RAT) BTMOB auf dem Gerät abgelegt. BTMOB ermöglicht Angreifern die vollständige Kontrolle über infizierte Geräte und wird als Malware-as-a-Service (MaaS) verkauft.

Fazit

BeatBanker ist eine Android-Malware, die Kryptowährungen schürfen, Bankdaten stehlen und die Fernsteuerung von Geräten ermöglichen kann. Sie nutzt persistente Techniken und versteckte Berechtigungen, um unentdeckt zu bleiben, während sie sensible Daten sammelt und die Aktivitäten der Nutzer überwacht. Einige Varianten installieren zudem BTMOB, wodurch Angreifer vollständigen Zugriff und langfristige Kontrolle über infizierte Geräte erhalten.

Weitere Beispiele für Malware, die auf Android-Geräte abzielt, sind Massiv, PromptSpy und Oblivion.

Wie hat sich BeatBanker auf mein Gerät eingeschleust?

BeatBanker infiziert Geräte über eine gefälschte Website, die dem Google Play Store ähnelt. Nutzer werden dazu verleitet, eine schädliche App zu installieren, die als „INSS Reembolso“ oder eine andere gefälschte Regierungs-App getarnt ist. Ein Gerät wird infiziert, sobald der Nutzer eine gefälschte App installiert. Sobald BeatBanker aktiv ist, lädt es zusätzliche Komponenten herunter, beispielsweise einen Krypto-Miner.

Wie vermeidet man die Installation von Malware?

Halten Sie Ihr Betriebssystem und Ihre Apps auf dem neuesten Stand und laden Sie Software nur aus vertrauenswürdigen Quellen herunter, wie beispielsweise offiziellen Websites oder App-Stores. Seien Sie vorsichtig bei unerwarteten E-Mails oder Nachrichten und klicken Sie nicht auf Links oder öffnen Sie keine Anhänge, es sei denn, Sie sind sich sicher, dass diese unbedenklich sind.

Klicken Sie beim Surfen nicht auf Pop-ups, Werbeanzeigen oder Links auf dubiosen Websites und lehnen Sie Benachrichtigungsanfragen von nicht vertrauenswürdigen Seiten ab. Scannen Sie Ihr Gerät regelmäßig mit zuverlässiger Sicherheitssoftware, um potenzielle Bedrohungen zu erkennen und zu entfernen.

Das Administrationspanel von BeatBanker (Quelle: securelist.com):

Von BeatBanker angezeigte Overlays (Quelle: securelist.com):

Schnellmenü:

• Einleitung
• Wie löscht man den Browserverlauf im Chrome-Webbrowser?
• Wie deaktiviere ich Benachrichtigungen im Chrome-Webbrowser?
• Wie setzt man den Chrome-Webbrowser zurück?
• Wie löscht man den Browserverlauf im Firefox-Webbrowser?
• Wie deaktiviere ich Benachrichtigungen im Firefox-Webbrowser?
• Wie setzt man den Firefox-Webbrowser zurück?
• Wie deinstalliert man potenziell unerwünschte und/oder schädliche Anwendungen?
• Wie starte ich das Android-Gerät im „abgesicherten Modus“?
• Wie kann man den Akkuverbrauch verschiedener Anwendungen überprüfen?
• Wie kann man die Datennutzung verschiedener Anwendungen überprüfen?
• Wie installiere ich die neuesten Software-Updates?
• Wie setzt man das System auf die Werkseinstellungen zurück?
• Wie deaktiviere ich Anwendungen mit Administratorrechten?

Browserverlauf im Chrome-Webbrowser löschen:

Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der oberen rechten Ecke des Bildschirms) und wählen Sie im sich öffnenden Dropdown-Menü „Verlauf“ aus.

Tippen Sie auf „Browsing-Daten löschen“, wählen Sie die Registerkarte „ERWEITERT“, wählen Sie den Zeitbereich und die Datentypen aus, die Sie löschen möchten, und tippen Sie auf „Daten löschen“.

[Zurück zum Inhaltsverzeichnis]

Browser-Benachrichtigungen im Chrome-Webbrowser deaktivieren:

Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der oberen rechten Ecke des Bildschirms) und wählen Sie im sich öffnenden Dropdown-Menü „Einstellungen“ aus.

Scrolle nach unten, bis du die Option „Website-Einstellungen“ siehst, und tippe darauf. Scrolle weiter nach unten, bis du die Option „Benachrichtigungen“ siehst, und tippe darauf.

Suchen Sie die Websites, die Browser-Benachrichtigungen senden, tippen Sie darauf und klicken Sie auf „Löschen & zurücksetzen“. Dadurch werden die Berechtigungen entzogen, die diesen Websites zum Senden von Benachrichtigungen erteilt wurden. Wenn Sie dieselbe Website jedoch erneut besuchen, wird möglicherweise erneut um eine Berechtigung gebeten. Sie können entscheiden, ob Sie diese Berechtigungen erteilen möchten oder nicht (wenn Sie die Berechtigung verweigern, wird die Website in den Bereich „Blockiert“ verschoben und fragt Sie nicht mehr nach der Berechtigung).

[Zurück zum Inhaltsverzeichnis]

Chrome-Webbrowser zurücksetzen:

Gehe zu „Einstellungen“, scrolle nach unten, bis du „Apps“ siehst, und tippe darauf.

Scrolle nach unten, bis du die Anwendung „Chrome“ findest, wähle sie aus und tippe auf die Option „Speicher“.

Tippen Sie auf „SPEICHER VERWALTEN“, dann auf „ALLE DATEN LÖSCHEN“ und bestätigen Sie den Vorgang durch Tippen auf „OK“. Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Das bedeutet, dass alle gespeicherten Anmeldedaten/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Außerdem müssen Sie sich auf allen Websites erneut anmelden.

[Zurück zum Inhaltsverzeichnis]

Browserverlauf im Firefox-Webbrowser löschen:

Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der oberen rechten Ecke des Bildschirms) und wählen Sie im sich öffnenden Dropdown-Menü „Verlauf“ aus.

Scrolle nach unten, bis du „Private Daten löschen“ siehst, und tippe darauf. Wähle die Datentypen aus, die du löschen möchtest, und tippe auf „DATEN LÖSCHEN“.

[Zurück zum Inhaltsverzeichnis]

Browser-Benachrichtigungen im Firefox-Webbrowser deaktivieren:

Rufen Sie die Website auf, die Browser-Benachrichtigungen sendet, tippen Sie auf das Symbol links neben der Adressleiste (das Symbol muss nicht unbedingt ein „Schloss“ sein) und wählen Sie „Website-Einstellungen bearbeiten“.

Wähle im sich öffnenden Popup-Fenster die Option „Benachrichtigungen“ aus und tippe auf „LÖSCHEN“.

[Zurück zum Inhaltsverzeichnis]

Den Firefox-Webbrowser zurücksetzen:

Gehe zu „Einstellungen“, scrolle nach unten, bis du „Apps“ siehst, und tippe darauf.

Scrolle nach unten, bis du die Anwendung „Firefox“ findest, wähle sie aus und tippe auf die Option „Speicher“.

Tippen Sie auf „DATEN LÖSCHEN“ und bestätigen Sie den Vorgang durch Tippen auf „LÖSCHEN“. Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Das bedeutet, dass alle gespeicherten Anmeldedaten, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Außerdem müssen Sie sich auf allen Websites erneut anmelden.

[Zurück zum Inhaltsverzeichnis]

Entfernen Sie potenziell unerwünschte und/oder schädliche Anwendungen:

Gehe zu „Einstellungen“, scrolle nach unten, bis du „Apps“ siehst, und tippe darauf.

Scrollen Sie nach unten, bis Sie eine potenziell unerwünschte und/oder schädliche Anwendung sehen, wählen Sie diese aus und tippen Sie auf „Deinstallieren“. Wenn Sie die ausgewählte App aus irgendeinem Grund nicht entfernen können (z. B. weil eine Fehlermeldung angezeigt wird), sollten Sie es im „abgesicherten Modus“ versuchen.

[Zurück zum Inhaltsverzeichnis]

Starten Sie das Android-Gerät im „abgesicherten Modus“:

Der „Abgesicherter Modus“ im Android-Betriebssystem deaktiviert vorübergehend die Ausführung aller Anwendungen von Drittanbietern. Die Verwendung dieses Modus ist eine gute Möglichkeit, verschiedene Probleme zu diagnostizieren und zu beheben (z. B. das Entfernen bösartiger Anwendungen, die dies verhindern, wenn das Gerät im „normalen“ Modus läuft).

Drücken Sie die Taste „Ein/Aus“ und halten Sie sie gedrückt, bis der Bildschirm „Ausschalten“ angezeigt wird. Tippen Sie auf das Symbol „Ausschalten“ und halten Sie es gedrückt. Nach einigen Sekunden erscheint die Option „Abgesicherter Modus“, die Sie durch einen Neustart des Geräts ausführen können.

[Zurück zum Inhaltsverzeichnis]

Überprüfen Sie den Akkuverbrauch verschiedener Anwendungen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Gerätewartung“ sehen, und tippen Sie darauf.

Tippen Sie auf „Akku“ und überprüfen Sie den Verbrauch der einzelnen Anwendungen. Seriöse Anwendungen sind so konzipiert, dass sie so wenig Energie wie möglich verbrauchen, um ein optimales Benutzererlebnis zu bieten und Strom zu sparen. Ein hoher Akkuverbrauch kann daher darauf hindeuten, dass es sich um eine schädliche Anwendung handelt.

[Zurück zum Inhaltsverzeichnis]

Überprüfen Sie die Datennutzung verschiedener Anwendungen:

Gehe zu „Einstellungen“, scrolle nach unten, bis du „Verbindungen“ siehst, und tippe darauf.

Scrollen Sie nach unten, bis Sie „Datennutzung“ sehen, und wählen Sie diese Option aus. Wie beim Akku sind seriöse/echte Anwendungen so konzipiert, dass sie den Datenverbrauch so weit wie möglich minimieren. Das bedeutet, dass ein sehr hoher Datenverbrauch auf das Vorhandensein einer schädlichen Anwendung hindeuten kann. Beachten Sie, dass manche schädliche Anwendungen so konzipiert sein können, dass sie nur dann aktiv sind, wenn das Gerät mit einem WLAN-Netzwerk verbunden ist. Aus diesem Grund sollten Sie sowohl die mobile als auch die WLAN-Datennutzung überprüfen.

Wenn Sie eine App finden, die viel Datenvolumen verbraucht, obwohl Sie sie nie nutzen, empfehlen wir Ihnen dringend, sie so schnell wie möglich zu deinstallieren.

[Zurück zum Inhaltsverzeichnis]

Installieren Sie die neuesten Software-Updates:

Die Software auf dem neuesten Stand zu halten, ist eine bewährte Vorgehensweise, wenn es um die Sicherheit Ihres Geräts geht. Die Gerätehersteller veröffentlichen regelmäßig verschiedene Sicherheitspatches und Android-Updates, um Fehler und Schwachstellen zu beheben, die von Cyberkriminellen ausgenutzt werden könnten. Ein veraltetes System ist wesentlich anfälliger, weshalb Sie stets darauf achten sollten, dass die Software Ihres Geräts auf dem neuesten Stand ist.

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Software-Update“ sehen, und tippen Sie darauf.

Tippen Sie auf „Updates manuell herunterladen“ und prüfen Sie, ob Updates verfügbar sind. Falls ja, installieren Sie diese sofort. Wir empfehlen außerdem, die Option „Updates automatisch herunterladen“ zu aktivieren – dadurch wird das System Sie benachrichtigen, sobald ein Update veröffentlicht wird, und/oder es automatisch installieren.

[Zurück zum Inhaltsverzeichnis]

Setzen Sie das System auf die Werkseinstellungen zurück:

Ein „Zurücksetzen auf die Werkseinstellungen“ ist eine gute Möglichkeit, alle unerwünschten Anwendungen zu entfernen, die Systemeinstellungen auf die Standardeinstellungen zurückzusetzen und das Gerät insgesamt zu bereinigen. Sie müssen jedoch bedenken, dass alle Daten auf dem Gerät gelöscht werden, darunter Fotos, Video- und Audiodateien, Telefonnummern (die auf dem Gerät gespeichert sind, nicht auf der SIM-Karte), SMS-Nachrichten und so weiter. Mit anderen Worten: Das Gerät wird in seinen ursprünglichen Zustand zurückversetzt.

Sie können auch die grundlegenden Systemeinstellungen und/oder lediglich die Netzwerkeinstellungen wiederherstellen.

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Über das Telefon“ sehen, und tippen Sie darauf.

Scrolle nach unten, bis du „Zurücksetzen“ siehst, und tippe darauf. Wähle nun die gewünschte Aktion aus:
"Einstellungen zurücksetzen“ – alle Systemeinstellungen auf die Standardeinstellungen zurücksetzen;
“Netzwerkeinstellungen zurücksetzen“ – alle netzwerkbezogenen Einstellungen auf die Standardeinstellungen zurücksetzen;
“Auf Werkseinstellungen zurücksetzen“ – das gesamte System zurücksetzen und alle gespeicherten Daten vollständig löschen;

[Zurück zum Inhaltsverzeichnis]

Deaktivieren Sie Anwendungen mit Administratorrechten:

Wenn eine schädliche Anwendung Administratorrechte erhält, kann dies das System ernsthaft beschädigen. Um das Gerät so sicher wie möglich zu halten, sollten Sie stets überprüfen, welche Apps über solche Rechte verfügen, und diejenigen deaktivieren, die diese nicht benötigen.

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Sperrbildschirm und Sicherheit“ sehen, und tippen Sie darauf.

Scrolle nach unten, bis du „Weitere Sicherheitseinstellungen“ siehst, tippe darauf und tippe dann auf „Geräteadministrator-Apps“.

Wählen Sie die Anwendungen aus, die keine Administratorrechte haben sollten, tippen Sie darauf und tippen Sie anschließend auf „DEAKTIVIEREN“.

Häufig gestellte Fragen (FAQ)

Mein Gerät ist mit der Malware „BeatBanker“ infiziert. Sollte ich mein Speichermedium formatieren, um sie zu entfernen?

Dadurch wird BeatBanker entfernt, jedoch werden auch alle Daten auf dem Gerät gelöscht; daher sollte diese Option nur als letzter Ausweg gewählt werden. Es wird empfohlen, zuvor einen vollständigen Scan mit einer vertrauenswürdigen Sicherheitssoftware wie Combo Cleaner durchzuführen.

Was sind die größten Probleme, die durch Malware verursacht werden können?

Malware kann ein Gerät verlangsamen, Systemabstürze verursachen, Dateien löschen oder verschlüsseln und weitere schädliche Programme installieren. Außerdem kann sie persönliche Daten stehlen, Angreifern Fernzugriff auf das System gewähren und andere schädliche Aktionen ausführen.

Was ist der Zweck von BeatBanker?

Der Zweck von BeatBanker besteht darin, Kryptowährung zu stehlen, mit dem Gerät des Opfers Kryptowährung zu schürfen und Angreifern die Fernsteuerung über das infizierte Gerät zu ermöglichen.

Wie hat sich BeatBanker auf mein Gerät eingeschleust?

BeatBanker dringt in der Regel in ein Gerät ein, wenn ein Nutzer eine gefälschte App von einer inoffiziellen Google Play Store-Website herunterlädt und installiert. Diese Apps geben oft vor, legitime Dienste zu sein, und nutzen gefälschte Updates, um den Nutzer dazu zu verleiten, Berechtigungen zu erteilen. Nach der Installation läuft die Malware im Hintergrund und lädt weitere schädliche Komponenten herunter.

Schützt mich Combo Cleaner vor Malware?

Ja, Combo Cleaner kann viele bekannte Arten von Malware erkennen und entfernen. Da sich einige komplexe Bedrohungen jedoch tief im System verstecken können, wird die Durchführung eines vollständigen Systemscans empfohlen.