Negli ultimi rilevamenti il team GReAT di Kaspersky ha identificato una campagna che fa leva su un’esca molto riconoscibile: una falsa app Starlink distribuita tramite pagine che imitano il Google Play Store. L’obiettivo primario sembra essere la popolazione brasiliana, dove gli attori hanno già impiegato esche legate a servizi nazionali come l’app per il ritiro degli esami, ma non si esclude che la tecnica possa raggiungere utenti in altri Paesi.
Il malware, noto come BeatBanker, presenta un’architettura modulare che combina più funzionalità: da un trojan bancario alla capacità di eseguire un crypto miner, fino all’installazione di un RAT per il controllo remoto. Nel testo seguente analizziamo le tecniche di distribuzione, i moduli principali e le contromisure pratiche per ridurre il rischio di infezione.
Meccanismo di distribuzione e inganno
Gli aggressori costruiscono pagine web che replicano l’aspetto del Play Store, spingendo l’utente a scaricare un file APK mascherato da applicazione legittima. In alcuni casi la ricerca dell’app locale per servizi pubblici conduce la vittima sul sito contraffatto invece che sul negozio ufficiale. Dopo l’installazione, il malware mostra una schermata che simula un aggiornamento del Play Store; se l’utente preme il pulsante Update, concede permessi cruciali che permettono il download e l’esecuzione di ulteriori componenti malevoli.
Il falso Play Store e i permessi
La strategia di social engineering si basa sulla familiarità visiva: l’interfaccia falsa riproduce icone e pulsanti del vero Google Play per abbassare i sospetti. Tramite la richiesta dei permessi di accessibilità il malware ottiene il controllo dell’interfaccia utente, una leva che consente di intercettare azioni su app finanziarie come Binance e Trust Wallet.
In pratica, la vittima vede la propria interfaccia ma il traffico o gli indirizzi possono essere dirottati a favore dei criminali.
Moduli e capacità tecniche
Il cuore di BeatBanker è modulare: tra i componenti individuati ci sono un crypto miner e un trojan bancario, mentre l’ultima versione osservata incorpora il RAT BTMOB. Il miner sfrutta XMRig per minare Monero, attivandosi o disattivandosi in base a parametri come temperatura, livello di batteria e attività dell’utente, per ridurre la probabilità di rilevamento umano.
Persistenza e tecniche furtive
Per mantenere la persistenza il malware usa una tecnica insolita: la riproduzione continua di un file audio di pochi secondi in loop, quasi impercettibile, collegata a un servizio in foreground con notifica fissa.
Questo trucco impedisce al sistema operativo di terminare il processo e rende più difficile la rimozione automatica. Tale approccio dimostra come gli autori cerchino di evitare sia l’intervento manuale dell’utente sia i meccanismi di pulizia automatici.
Rischi concreti e consigli per la difesa
Le capacità combinate del malware lo rendono pericoloso: oltre al furto di fondi tramite la sovrapposizione di interfacce e la sostituzione di indirizzi wallet, il BTMOB RAT consente la cattura di screenshot, la registrazione dello schermo, il rilevamento della posizione GPS e l’accesso a fotocamere e credenziali. Per ridurre l’esposizione è fondamentale adottare comportamenti prudenti: scaricare solo da store ufficiali, verificare l’URL dei link, leggere le recensioni e controllare con attenzione i permessi richiesti dalle app.
In aggiunta, è consigliabile mantenere attivo Play Protect e utilizzare soluzioni di sicurezza mobile che possano rilevare segnali anomali come attività di mining nascosta (processi che consumano CPU/battery) o richieste di permessi di accessibilità non giustificate. Se si sospetta un’infezione, evitare operazioni finanziarie sul dispositivo compromesso e procedere con una scansione approfondita o il ripristino dopo backup sicuro dei dati.
