Un nuovo e pericoloso malware per Android denominato BeatBanker è stato smascherato dai ricercatori di Kaspersky. Si tratta di un programma malevolo particolarmente insidioso perché distribuito attraverso piattaforme fraudolente che imitano il Google Play Store e app contraffatte, tra cui una falsa versione dell'applicazione di Starlink. Al momento la minaccia è stata identificata soprattutto in Brasile, ma gli esperti di sicurezza temono che possa diffondersi rapidamente verso altri paesi e continenti.
Il funzionamento del malware rivela una struttura complessa e modulare. I cybercriminali hanno creato un sito web quasi identico al negozio digitale di Google, con l'obiettivo di ingannare gli utenti che cercano l'app INSS Reembolso, utilizzata dai cittadini brasiliani per accedere a servizi pubblici come il ritiro dei risultati di esami medici. Una volta che la vittima scarica il file APK dal sito falso, il malware inizia la sua opera infettando il dispositivo. Viene quindi mostrata una schermata contraffatta che invita l'utente ad aggiornare il Play Store: quando tocca il pulsante, concede involontariamente i permessi necessari al virus per scaricare ulteriori componenti malevoli.
Quello che rende BeatBanker particolarmente sofisticato è il metodo usato per mantenersi attivo nel dispositivo: i criminali informatici fanno eseguire in loop un file audio MP3 di soli 5 secondi, inudibile all'utente ma sufficiente a impedire che il sistema operativo interrompa i processi del malware per inattività. Tra i moduli pericolosi figura XMRig, un programma che sfrutta il dispositivo per estrarre criptovalute Monero in background, attivandosi strategicamente in base al livello della batteria e della temperatura del telefono per non destare sospetti. Il componente più devastante è però il trojan bancario vero e proprio: sfruttando i permessi di accessibilità, acquisisce il controllo totale dell'interfaccia utente e monitora costantemente le applicazioni di Binance e Trust Wallet. Nel momento in cui la vittima effettua una transazione di criptovalute, il malware sostituisce istantaneamente l'indirizzo del portafoglio con quello dei criminali, mentre all'utente continua a essere mostrato il suo indirizzo legittimo.
Nella sua versione più recente, BeatBanker si cela dietro una falsa applicazione di Starlink ed include il RAT (Remote Access Trojan) denominato BTMOB, uno strumento che consente ai malfattori il controllo remoto dello smartphone, l'acquisizione di screenshot, la registrazione dei tasti digitati sulla tastiera, la cattura di video dello schermo, il furto sistematico di credenziali, l'accesso alla fotocamera e il tracciamento della posizione GPS dell'utente.
Gli esperti di sicurezza informatica consigliano di adottare precauzioni fondamentali: scaricare applicazioni esclusivamente da fonti ufficiali e verificate, controllare attentamente i permessi richiesti dalle app prima dell'installazione e soprattutto non disabilitare mai Google Play Protect, il sistema di protezione integrato di Android che è in grado di rilevare e bloccare app malware anche se scaricate al di fuori del Play Store ufficiale.
