Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Gli analisti di Kaspersky Lab hanno scoperto un programma Android chiamato BeatBanker, che si maschera da app Internet satellitare Starlink. Gli aggressori distribuiscono il file attraverso siti web che imitano il Google Play Store ufficiale.
Una volta installato, il programma ottiene l’accesso al dispositivo e può eseguire una serie di azioni dannose, dal furto di dati al mining occulto di criptovalute.
BeatBanker prende di mira gli utenti in Brasile e combina le funzioni di un trojan bancario e di uno strumento di mining di criptovalute Monero. Il malware è in grado di intercettare le credenziali, interferire con le transazioni di criptovalute e utilizzare le risorse degli smartphone per il mining.
Il file APK contiene librerie native che decifrano il codice nascosto e lo caricano direttamente nella memoria del dispositivo. Questo approccio aiuta a bypassare i meccanismi di sicurezza. Prima dell’avvio, il programma controlla l’ambiente per assicurarsi che non sia stato analizzato. Se il controllo ha esito positivo, l’utente visualizza una finta finestra di aggiornamento di Google Play. Il messaggio convince l’utente a concedere le autorizzazioni necessarie per scaricare componenti aggiuntivi.
Le prime versioni di BeatBanker funzionavano esclusivamente come trojan bancario, ma le versioni più recenti iniettano un trojan remoto, BTMOB RAT . Questo strumento garantisce il controllo completo dello smartphone. Gli operatori sono in grado di registrare le sequenze di tasti, acquisire screenshot, attivare la fotocamera, tracciare la geolocalizzazione e intercettare le credenziali.
Gli autori del malware hanno utilizzato un meccanismo di persistenza piuttosto ingegnoso. Il servizio KeepAliveServiceMediaPlayback riproduce continuamente una registrazione audio di cinque secondi, quasi impercettibile, di un parlato cinese dal file output8.mp3. Questa riproduzione costante mantiene il processo in esecuzione e impedisce al sistema di interrompere il servizio per inattività.
BeatBanker esegue anche una versione modificata del miner XMRig 6.17.0, progettato per dispositivi basati su ARM. Il programma si connette ai mining pool tramite connessioni TLS sicure. Se l’indirizzo primario non è disponibile, viene utilizzato un server proxy di backup.
Il malware monitora attentamente lo stato di salute dello smartphone. Il server di comando e controllo riceve informazioni sulla temperatura del dispositivo, sul livello della batteria, sull’attività dell’utente e sullo stato di carica tramite Firebase Cloud Messaging. Il mining viene avviato solo in condizioni favorevoli e si interrompe automaticamente durante i periodi di utilizzo attivo dello smartphone. Questo approccio riduce il carico e aiuta a mantenere le attività dannose nascoste più a lungo.
Oltre all’app Starlink, il malware si è camuffato anche sotto le spoglie del servizio governativo locale brasiliano, l’INSS Reembolso. Sebbene le infezioni siano state finora segnalate solo in Brasile , il successo di questo schema potrebbe portare alla diffusione del malware in altri Paesi.
