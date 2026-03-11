I ricercatori di Kaspersky hanno individuato un nuovo malware Android, denominato BeatBanker, che viene distribuito tramite un sito simile al Google Play Store e app fasulle, come quella che imita Starlink. Ha un’architettura modulare e offre diverse funzionalità, tra cui trojan bancario e crypto miner. Al momento è stato rilevato solo in Brasile, ma potrebbe espandersi ad altri paesi.

Persistenza con file MP3

I cybercriminali hanno creato un sito con design simile a quello del Google Play Store. Gli utenti più distratti finiscono sul sito fake quando cercano l’app INSS Reembolso usata dai cittadini brasiliani per accedere a vari servizi, tra cui il ritiro degli esami medici. Se viene installato il file APK inizia la catena di infezione con la raccolta di informazioni sul dispositivo.

Successivamente viene mostrata una falsa schermata di aggiornamento del Play Store. Se l’utente tocca il pulsante Update concede i permessi per scaricare altri moduli del malware. La persistenza viene ottenuta con una tecnica inusuale. Viene eseguito in loop un file MP3 di 5 secondi che non può essere udito dall’utente. Ciò evita l’interruzione del processo del malware per inattività.

Uno dei moduli è XMRig, un crypto miner per Monero. Viene attivato dinamicamente in base al livello della batteria e della temperatura del dispositivo. Un aumento della temperatura e la diminuzione dell’autonomia potrebbe destare sospetti. Il modulo principale di BeatBanker è quello che installa un trojan bancario.

Grazie ai permessi di accessibilità, ottenuti quando l’ignara vittima tocca il pulsante Update, prende il controllo dell’interfaccia e monitora l’uso delle app Binance e Trust Wallet (se installate). Quando viene effettuata una transazione, il malware sostituisce istantaneamente l’interfaccia e l’indirizzo del wallet. L’utente vede il suo indirizzo, ma le criptovalute sono inviate ai cybercriminali.

La versione più recente di BeatBanker è nascosta in una falsa app di Starlink. In questo caso è presente il RAT (Remote Access Trojan) BTMOB che consente il controllo remoto dello smartphone, la cattura di screenshot e tasti premuti, la registrazione dello schermo, il furto di credenziali, l’accesso alla fotocamera e il tracciamento della posizione GPS.

Il consiglio è ovviamente non installare app da fonti sconosciute, controllare i permessi e non disattivare Play Protect perché può rilevare e bloccare anche le app scaricate fuori dal Play Store.

