Kaspersky ha identificato una nuova campagna malware per Android che sfrutta il nome di Starlink per distribuire il trojan BeatBanker, una minaccia già osservata in precedenza in Brasile e ora associata a una nuova esca che potrebbe aumentare la platea delle vittime. Secondo i ricercatori del team GReAT, l’operazione prende di mira soprattutto utenti brasiliani, ma non si può escludere un’esposizione più ampia anche in altri Paesi. Il punto più delicato riguarda il metodo di distribuzione. Gli attaccanti, secondo l’analisi di Kaspersky, usano pagine di phishing che imitano il Google Play Store e inducono l’utente a credere di star installando o aggiornando un’app legittima. Una volta aperto il file malevolo sul dispositivo, il trojan mostra un’interfaccia che riproduce l’aspetto di Google Play, con l’obiettivo di convincere la vittima a concedere permessi sensibili e autorizzare l’installazione di ulteriori componenti dannosi.
La novità di questa campagna sta proprio nella falsa applicazione Starlink. Kaspersky spiega che gli aggressori, in una fase precedente, avevano già diffuso BeatBanker tramite altre esche, come app di servizi pubblici. Nella nuova variante, però, al posto del classico modulo bancario compare il RAT BTMOB, uno strumento di amministrazione remota che amplia parecchio le capacità di controllo sul telefono compromesso. Dal punto di vista tecnico, il malware non si limita a una sola funzione. BeatBanker installa infatti un miner di criptovaluta Monero e monitora parametri come percentuale di batteria, temperatura del dispositivo e attività dell’utente per decidere quando avviare o fermare il mining nascosto. Questo dettaglio mostra un approccio studiato per ridurre la probabilità che il proprietario dello smartphone noti subito consumi anomali o surriscaldamenti sospetti.
Accanto al miner, il modulo BTMOB RAT rende la minaccia ancora più seria. Secondo Kaspersky, questo malware-as-a-service è in grado di ottenere o automatizzare autorizzazioni, nascondere notifiche di sistema, cercare di acquisire le credenziali di sblocco del dispositivo, comprese password, PIN e sequenze, e raccogliere una grande quantità di dati sensibili. Tra le funzionalità attribuite al RAT figurano anche l’accesso alle fotocamere, il monitoraggio della posizione GPS e la raccolta continua di informazioni dal terminale infetto.
Uno degli elementi più insoliti emersi dall’analisi riguarda la persistenza del trojan. I ricercatori spiegano che BeatBanker usa un meccanismo basato sulla riproduzione quasi impercettibile di un file audio in loop, associato a un servizio in foreground e a una notifica fissa. In questo modo il malware prova a evitare l’interruzione del processo da parte del sistema operativo e rende più difficile la rimozione. È proprio questo comportamento ad aver ispirato il nome attribuito alla minaccia. Il caso conferma anche un altro aspetto ormai noto del panorama mobile: il ricorso a marchi e interfacce familiari per aumentare la credibilità dell’attacco. La stessa Starlink avverte i propri utenti di diffidare da messaggi e richieste sospette che chiedono credenziali o dati di pagamento, un richiamo che si inserisce bene nel contesto di una campagna che sfrutta un brand molto riconoscibile per abbassare il livello di attenzione della vittima.
Per gli utenti, il messaggio resta abbastanza chiaro: scaricare app solo da fonti ufficiali riduce il rischio, ma non basta da solo. Serve controllare con attenzione autorizzazioni richieste, recensioni, provenienza dei link e comportamento dello smartphone, soprattutto in presenza di surriscaldamenti, cali anomali di batteria, notifiche insolite o schermate che imitano il Play Store fuori dal normale flusso di installazione. In un contesto in cui le minacce Android continuano a evolvere, l’uso di esche credibili e moduli multipli, tra mining e accesso remoto, rende queste campagne particolarmente insidiose.
Aiutaci a crescere: lasciaci un like :)