Cómo eliminar BeatBanker de los dispositivos Android
TroyanoConocido también como: Malware BeatBanker para la minería de criptomonedas y el robo de información
Obtenga un escaneo gratuito y verifique si su computadora está infectada.
ELIMÍNELO AHORAPara usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.
¿Qué tipo de malware es BeatBanker?
BeatBanker es un malware para Android que se distribuye a través de sitios web falsos que se hacen pasar por Google Play Store. Funciona como un troyano bancario que secuestra dispositivos y falsifica pantallas, y como un minero de criptomonedas. Si se detecta en un dispositivo, BeatBanker debe eliminarse lo antes posible para evitar pérdidas económicas y otras consecuencias.
Descripción general de BeatBanker
Cuando el malware BeatBanker se ejecuta por primera vez, comprueba datos básicos de la red, como la dirección IP del dispositivo, si se trata de un teléfono móvil, si el usuario está utilizando una VPN y otra información relacionada con la red. En lugar de guardar su código malicioso en forma de archivos en el teléfono, BeatBanker carga el código directamente en la memoria del dispositivo.
Dado que no se guardan archivos en el dispositivo, a las aplicaciones de seguridad les resulta más difícil detectar BeatBanker. Además, el malware comprueba si se está ejecutando en un entorno de prueba o análisis (por ejemplo, un emulador). Si detecta que es así, se cierra inmediatamente para evitar ser analizado.
A continuación, BeatBanker muestra una página falsa que imita la tienda Google Play Store para la aplicación «INSS Reembolso», indicando que hay una actualización disponible. Cuando la víctima pulsa en «Actualizar», el malware solicita permiso para instalar aplicaciones y descarga componentes maliciosos ocultos. En lugar de utilizar la tienda Google Play Store auténtica, instala estos archivos directamente mediante permisos especiales.
Para mantenerse activo, el malware mantiene en pantalla una notificación falsa de actualización del sistema y ejecuta un servicio en primer plano con reproducción multimedia silenciosa, lo que ayuda a evitar que el sistema lo detenga. Además, cuando la víctima hace clic en «Actualizar» en la pantalla falsa de Google Play Store, el malware descarga en secreto un archivo que contiene software de minería de criptomonedas.
El minero de criptomonedas descargado (una versión modificada de XMRig) utiliza la CPU del teléfono de la víctima para minar criptomonedas en beneficio de los atacantes. BeatBanker puede comprobar el estado de la batería, la temperatura y la actividad del usuario del teléfono para decidir cuándo poner en marcha o detener el minero de criptomonedas.
Módulo bancario
BeatBanker utiliza un troyano bancario junto con el minero de criptomonedas. Intenta engañar a la víctima para que conceda permisos de acceso, lo que permite a los ciberdelincuentes controlar la interfaz del dispositivo. El malware comprueba qué aplicaciones están abiertas y se centra en Binance y Trust Wallet (se centra en las transacciones con USDT).
Cuando la víctima intenta enviar fondos, se superpone una página falsa sobre la pantalla de la transacción y se cambia en secreto la dirección del destinatario por la del operador. Al utilizar estas técnicas, los ciberdelincuentes pretenden engañar a las víctimas para que crean que están enviando criptomonedas a la dirección que han facilitado, cuando en realidad estas se envían a los autores del ataque.
Además, el módulo bancario de BeatBanker comprueba si están instalados Brave, Chrome, Dolphin Browser, DuckDuckGo, Edge, Firefox, Opera y sBrowser. A continuación, recopila los sitios web que visita la víctima y puede gestionar los enlaces guardados en el navegador predeterminado (añadir, editar, eliminar, listar) y abrir los enlaces proporcionados por los atacantes.
Comandos compatibles
BeatBanker puede recibir órdenes del servidor C2 y llevar a cabo diversas acciones maliciosas en el dispositivo infectado. Puede mostrar falsas actualizaciones de software, bloquear la pantalla, capturar datos del portapapeles, recopilar grabaciones de audio (y enviarlas a los ciberdelincuentes), abrir enlaces en los navegadores, actualizar credenciales de inicio de sesión y enviar SMS.
Además, puede borrar todos los datos (restablecer los ajustes de fábrica), eliminar archivos o desinstalarse a sí mismo. BeatBanker también puede registrar lo que escribe el usuario, leer el texto de la pantalla, hacer capturas de pantalla y transmitir la pantalla en tiempo real. Asimismo, puede supervisar aplicaciones, bloquear o permitir el acceso a aplicaciones a través de un cortafuegos integrado, crear notificaciones persistentes y controlar una conexión VPN.
Es importante señalar que BeatBanker puede solicitar diversos permisos, como el acceso a funciones de accesibilidad, la posibilidad de superponerse a otras aplicaciones y el permiso para instalar aplicaciones de fuentes desconocidas. Con estos permisos, puede tocar o deslizar el dedo por la pantalla automáticamente, abrir enlaces, ejecutar códigos USSD e instalar aplicaciones adicionales.
Nueva variante
Existe una nueva variante de BeatBanker, camuflada como una aplicación falsa de StarLink, que también ataca a los usuarios de Android. Esta versión también incluye un minero de criptomonedas, pero no instala el troyano bancario. En su lugar, descarga el troyano de administración remota (RAT) BTMOB. BTMOB permite a los atacantes controlar por completo los dispositivos infectados y se comercializa como «malware como servicio» (MaaS).
| Nombre | Malware BeatBanker para la minería de criptomonedas y el robo de información |
| Tipo de amenaza | Malware para Android, troyano bancario, minero de criptomonedas, herramienta de acceso remoto |
| Nombres de detección | Avast (APK:CRepMalware [Trj]), Combo Cleaner (Android.Riskware.FakeApp.ADD), Kaspersky (HEUR:Trojan-Dropper.AndroidOS.Banker.bg), Trustlook (Android.Malware.Trojan), Lista completa (VirusTotal) |
| Síntomas | Pantallas de actualización falsas, aplicaciones desconocidas instaladas en el dispositivo, transacciones inesperadas con criptomonedas, rendimiento del dispositivo más lento. |
| Métodos de distribución | Sitio web falso de Google Play Store, aplicaciones engañosas. |
| Daños | Robo de datos personales, disminución del rendimiento de los dispositivos, pérdida de datos, pérdidas económicas, suplantación de identidad y mucho más. |
| Eliminación de Malware |
Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. Descargue Combo Cleaner para WindowsEl detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk. |
Conclusión
BeatBanker es un malware para Android capaz de minar criptomonedas, robar información bancaria y permitir el control remoto de los dispositivos. Utiliza técnicas persistentes y permisos ocultos para pasar desapercibido mientras recopila datos confidenciales y supervisa la actividad del usuario. Algunas variantes también instalan BTMOB, lo que proporciona a los atacantes acceso total y control a largo plazo sobre los dispositivos infectados.
Otros ejemplos de malware dirigido a dispositivos Android son Massiv, PromptSpy y Oblivion.
¿Cómo se ha infiltrado BeatBanker en mi dispositivo?
BeatBanker infecta los dispositivos a través de una página web falsa que se hace pasar por Google Play Store. Se engaña a los usuarios para que instalen una aplicación maliciosa camuflada como «INSS Reembolso» o alguna otra aplicación gubernamental falsa. El dispositivo se infecta cuando el usuario instala la aplicación falsa. Una vez activa, BeatBanker descarga componentes adicionales, como un minero de criptomonedas.
¿Cómo evitar la instalación de malware?
Mantén actualizados tu sistema operativo y tus aplicaciones, y descarga software únicamente de fuentes fiables, como sitios web oficiales o tiendas de aplicaciones. Ten cuidado con los correos electrónicos o mensajes inesperados y no hagas clic en enlaces ni abras archivos adjuntos a menos que estés seguro de que son seguros.
Mientras navegas, no hagas clic en ventanas emergentes, anuncios o enlaces de sitios web sospechosos, y rechaza las solicitudes de notificación de sitios poco fiables. Analiza periódicamente tu dispositivo con un software de seguridad fiable para detectar y eliminar cualquier amenaza potencial.
Panel de administración de BeatBanker (fuente: securelist.com):
Superposiciones mostradas por BeatBanker (fuente: securelist.com):
Menú rápido:
- Introducción
- ¿Cómo borrar el historial de navegación del navegador Chrome?
- ¿Cómo desactivar las notificaciones del navegador Chrome?
- ¿Cómo restablecer el navegador web Chrome?
- ¿Cómo borrar el historial de navegación del navegador web Firefox?
- ¿Cómo desactivar las notificaciones del navegador en Firefox?
- ¿Cómo restablecer el navegador web Firefox?
- ¿Cómo desinstalar aplicaciones potencialmente no deseadas o maliciosas?
- ¿Cómo iniciar el dispositivo Android en «modo seguro»?
- ¿Cómo se puede comprobar el consumo de batería de las distintas aplicaciones?
- ¿Cómo consultar el consumo de datos de las distintas aplicaciones?
- ¿Cómo instalar las últimas actualizaciones de software?
- ¿Cómo restablecer el sistema a su configuración predeterminada?
- ¿Cómo desactivar las aplicaciones que tienen privilegios de administrador?
Borrar el historial de navegación del navegador Chrome:
Pulsa el botón «Menú» (los tres puntos situados en la esquina superior derecha de la pantalla) y selecciona «Historial» en el menú desplegable que se abre.
Pulsa en «Borrar datos de navegación», selecciona la pestaña «AVANZADAS», elige el intervalo de tiempo y los tipos de datos que deseas eliminar y pulsa en «Borrar datos».
Desactivar las notificaciones del navegador en Chrome:
Pulsa el botón «Menú» (los tres puntos situados en la esquina superior derecha de la pantalla) y selecciona «Ajustes» en el menú desplegable que se abre.
Desplázate hacia abajo hasta que veas la opción «Configuración del sitio» y pulsa sobre ella. Desplázate hacia abajo hasta que veas la opción «Notificaciones» y pulsa sobre ella.
Busca los sitios web que envían notificaciones al navegador, pulsa sobre ellos y haz clic en «Borrar y restablecer». Esto eliminará los permisos concedidos a estos sitios web para enviar notificaciones. Sin embargo, la próxima vez que visites el mismo sitio, es posible que te vuelva a solicitar permiso. Puedes elegir si concedes estos permisos o no (si decides rechazarlos, el sitio web pasará a la sección «Bloqueados» y ya no te volverá a solicitar el permiso).
Restablecer el navegador web Chrome:
Ve a «Ajustes», desplázate hacia abajo hasta que veas «Aplicaciones» y pulsa sobre ella.
Desplázate hacia abajo hasta encontrar la aplicación «Chrome», selecciónala y pulsa la opción «Almacenamiento».
Pulsa «GESTIONAR ALMACENAMIENTO», luego «BORRAR TODOS LOS DATOS» y confirma la acción pulsando «Aceptar». Ten en cuenta que al restablecer el navegador se eliminarán todos los datos almacenados en él. Esto significa que se borrarán todos los nombres de usuario y contraseñas guardados, el historial de navegación, la configuración personalizada y otros datos. Además, tendrás que volver a iniciar sesión en todos los sitios web.
Borrar el historial de navegación del navegador web Firefox:
Pulsa el botón «Menú» (los tres puntos situados en la esquina superior derecha de la pantalla) y selecciona «Historial» en el menú desplegable que se abre.
Desplázate hacia abajo hasta que veas «Borrar datos privados» y pulsa sobre él. Selecciona los tipos de datos que quieras eliminar y pulsa «BORRAR DATOS».
Desactivar las notificaciones del navegador en Firefox:
Visita el sitio web que envía notificaciones al navegador, pulsa el icono que aparece a la izquierda de la barra de direcciones (el icono no tiene por qué ser necesariamente un «Candado») y selecciona «Editar configuración del sitio».
En la ventana emergente que se abre, selecciona la opción «Notificaciones» y pulsa «BORRAR».
Restablecer el navegador web Firefox:
Ve a «Ajustes», desplázate hacia abajo hasta que veas «Aplicaciones» y pulsa sobre ella.
Desplázate hacia abajo hasta encontrar la aplicación «Firefox», selecciónala y pulsa la opción «Almacenamiento».
Pulsa «BORRAR DATOS» y confirma la acción pulsando «ELIMINAR». Ten en cuenta que al restablecer el navegador se eliminarán todos los datos almacenados en él. Esto significa que se borrarán todos los nombres de usuario y contraseñas guardados, el historial de navegación, los ajustes no predeterminados y otros datos. Además, tendrás que volver a iniciar sesión en todos los sitios web.
Desinstala las aplicaciones potencialmente no deseadas o maliciosas:
Ve a «Ajustes», desplázate hacia abajo hasta que veas «Aplicaciones» y pulsa sobre ella.
Desplázate hacia abajo hasta que veas una aplicación potencialmente no deseada o maliciosa, selecciónala y pulsa «Desinstalar». Si, por alguna razón, no puedes eliminar la aplicación seleccionada (por ejemplo, si aparece un mensaje de error), prueba a utilizar el «Modo seguro».
Inicia el dispositivo Android en «modo seguro»:
El «Modo seguro» del sistema operativo Android desactiva temporalmente la ejecución de todas las aplicaciones de terceros. Utilizar este modo es una buena forma de diagnosticar y resolver diversos problemas (por ejemplo, eliminar aplicaciones maliciosas que impiden a los usuarios hacerlo cuando el dispositivo funciona «con normalidad»).
Pulsa el botón «Encendido» y mantenlo pulsado hasta que aparezca la pantalla «Apagar». Toca el icono «Apagar» y manténlo pulsado. Tras unos segundos, aparecerá la opción «Modo seguro» y podrás ejecutarla reiniciando el dispositivo.
Comprueba el consumo de batería de varias aplicaciones:
Ve a «Ajustes», desplázate hacia abajo hasta que veas «Mantenimiento del dispositivo» y pulsa sobre él.
Pulsa en «Batería» y comprueba el consumo de cada aplicación. Las aplicaciones legítimas o auténticas están diseñadas para consumir la menor energía posible, con el fin de ofrecer la mejor experiencia de usuario y ahorrar batería. Por lo tanto, un consumo elevado de batería puede indicar que la aplicación es maliciosa.
Comprueba el consumo de datos de varias aplicaciones:
Ve a «Ajustes», desplázate hacia abajo hasta que veas «Conexiones» y pulsa sobre ella.
Desplázate hacia abajo hasta que veas «Uso de datos» y selecciona esta opción. Al igual que ocurre con la batería, las aplicaciones legítimas o auténticas están diseñadas para minimizar el consumo de datos en la medida de lo posible. Esto significa que un consumo excesivo de datos puede indicar la presencia de una aplicación maliciosa. Ten en cuenta que algunas aplicaciones maliciosas pueden estar diseñadas para funcionar únicamente cuando el dispositivo está conectado a una red inalámbrica. Por este motivo, debes comprobar tanto el uso de datos móviles como el de Wi-Fi.
Si detectas una aplicación que consume muchos datos aunque nunca la utilices, te recomendamos encarecidamente que la desinstales lo antes posible.
Instala las últimas actualizaciones de software:
Mantener el software actualizado es una buena práctica en lo que respecta a la seguridad de los dispositivos. Los fabricantes de dispositivos lanzan continuamente diversos parches de seguridad y actualizaciones de Android para corregir errores y fallos que podrían ser aprovechados por los ciberdelincuentes. Un sistema desactualizado es mucho más vulnerable, por lo que siempre debes asegurarte de que el software de tu dispositivo esté actualizado.
Ve a «Ajustes», desplázate hacia abajo hasta que veas «Actualización de software» y pulsa sobre ella.
Pulsa en «Descargar actualizaciones manualmente» y comprueba si hay actualizaciones disponibles. Si es así, instálalas inmediatamente. También te recomendamos que actives la opción «Descargar actualizaciones automáticamente»: así, el sistema te avisará cuando se publique una actualización y/o la instalará automáticamente.
Restablece el sistema a su configuración predeterminada:
Realizar un «Restablecimiento de fábrica» es una buena forma de eliminar todas las aplicaciones no deseadas, restablecer la configuración predeterminada del sistema y limpiar el dispositivo en general. Sin embargo, debes tener en cuenta que se borrarán todos los datos del dispositivo, incluidas las fotos, los archivos de vídeo y audio, los números de teléfono (almacenados en el dispositivo, no en la tarjeta SIM), los mensajes SMS, etc. En otras palabras, el dispositivo se restablecerá a su estado original.
También puedes restablecer la configuración básica del sistema o, si lo prefieres, solo la configuración de red.
Ve a «Ajustes», desplázate hacia abajo hasta que veas «Acerca del teléfono» y pulsa sobre ello.
Desplázate hacia abajo hasta que veas «Restablecer» y pulsa sobre él. Ahora elige la acción que deseas realizar:
"Restablecer ajustes" - restablece todos los ajustes del sistema a los valores predeterminados;
«Restablecer ajustes de red» - restablece todos los ajustes relacionados con la red a los valores predeterminados;
«Restablecimiento de datos de fábrica» - restablece todo el sistema y elimina por completo todos los datos almacenados;
Desactivar las aplicaciones que tienen privilegios de administrador:
Si una aplicación maliciosa obtiene privilegios de administrador, puede causar graves daños al sistema. Para mantener el dispositivo lo más seguro posible, debes comprobar siempre qué aplicaciones tienen esos privilegios y desactivar las que no deberían tenerlos.
Ve a «Ajustes», desplázate hacia abajo hasta que veas «Pantalla de bloqueo y seguridad» y pulsa sobre ella.
Desplázate hacia abajo hasta que veas «Otros ajustes de seguridad», pulsa sobre esa opción y, a continuación, pulsa «Aplicaciones de administrador del dispositivo».
Identifica las aplicaciones que no deberían tener privilegios de administrador, pulsa sobre ellas y, a continuación, pulsa «DESACTIVAR».
Preguntas frecuentes (FAQ)
Mi dispositivo está infectado con el malware BeatBanker, ¿debería formatear mi dispositivo de almacenamiento para eliminarlo?
Esta acción eliminará BeatBanker, pero también borrará todos los datos del dispositivo, por lo que solo debe utilizarse como último recurso. Antes de hacerlo, se recomienda realizar un análisis completo con un programa de seguridad de confianza, como Combo Cleaner.
¿Cuáles son los principales problemas que puede causar el malware?
El malware puede ralentizar un dispositivo, provocar fallos en el sistema, borrar o cifrar archivos e instalar programas maliciosos adicionales. También puede robar información personal, proporcionar a los atacantes acceso remoto al sistema y llevar a cabo otras acciones maliciosas.
¿Cuál es el objetivo de BeatBanker?
El objetivo de BeatBanker es robar criptomonedas, minarlas utilizando el dispositivo de la víctima y proporcionar a los atacantes el control remoto del dispositivo infectado.
¿Cómo se ha infiltrado BeatBanker en mi dispositivo?
BeatBanker suele infiltrarse en un dispositivo cuando un usuario descarga e instala una aplicación falsa desde un sitio web no oficial de Google Play Store. Estas aplicaciones suelen hacerse pasar por servicios legítimos y utilizan actualizaciones falsas para engañar al usuario y que este conceda permisos. Una vez instalado, el malware se ejecuta en segundo plano y descarga componentes maliciosos adicionales.
¿Me protegerá Combo Cleaner contra el malware?
Sí, Combo Cleaner puede detectar y eliminar muchos tipos conocidos de malware. No obstante, algunas amenazas avanzadas pueden ocultarse en lo más profundo del sistema, por lo que se recomienda realizar un análisis completo del sistema.
Compartir:
Facebook
X.com
LinkedIn
Copiar enlace
Tomas Meskauskas
Investigador experto en seguridad, analista profesional de malware
Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet.
El portal de seguridad PCrisk es ofrecido por la empresa RCS LT.
Investigadores de seguridad han unido fuerzas para ayudar a educar a los usuarios de ordenadores sobre las últimas amenazas de seguridad en línea. Más información sobre la empresa RCS LT.
Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.
DonarEl portal de seguridad PCrisk es ofrecido por la empresa RCS LT.
Investigadores de seguridad han unido fuerzas para ayudar a educar a los usuarios de ordenadores sobre las últimas amenazas de seguridad en línea. Más información sobre la empresa RCS LT.
Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.
Donar
▼ Mostrar discusión