{"id":30532,"date":"2026-03-17T11:48:42","date_gmt":"2026-03-17T09:48:42","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30532"},"modified":"2026-03-17T11:48:42","modified_gmt":"2026-03-17T09:48:42","slug":"beatbanker-btmob-android-malware-disguised-starlink-inss-reembolso","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/beatbanker-btmob-android-malware-disguised-starlink-inss-reembolso\/30532\/","title":{"rendered":"Un trojan Android si spaccia per servizi statali e app Starlink"},"content":{"rendered":"

Per raggiungere i loro obiettivi nefasti, gli sviluppatori di malware Android devono affrontare diverse sfide consecutive: ingannare gli utenti per entrare nei loro smartphone, schivare software di protezione, convincere le vittime a concedere varie autorizzazioni di sistema, stare alla larga dagli ottimizzatori di batteria integrati che contrastano l\u2019invasione di risorse e, dopo tutto questo, assicurarsi che il malware realizzi effettivamente un profitto. I creatori di BeatBanker, una campagna di malware Android\u2011 scoperta di recente dai nostri esperti, hanno escogitato qualcosa di nuovo per ognuno di questi passaggi. L\u2019attacco \u00e8 (per ora) rivolto agli utenti brasiliani, ma le ambizioni degli sviluppatori quasi sicuramente si spingeranno verso un\u2019attuazione internazionale, quindi vale la pena stare in guardia e studiarne i trucchi. Un\u2019analisi tecnica completa del malware \u00e8 disponibile su Securelist<\/a>.<\/p>\n

In che modo BeatBanker si infiltra in uno smartphone<\/h2>\n

Il malware viene distribuito tramite pagine di phishing appositamente predisposte che imitano il Google Play Store. Una pagina facilmente scambiabile per il marketplace ufficiale dell\u2019app invita gli utenti a scaricare un\u2019app apparentemente utile. In una campagna, il trojan si \u00e8 travestito da INSS Reembolso, un\u2019app di servizi del governo brasiliano; in un\u2019altra si fingeva l\u2019app Starlink.<\/p>\n

\"Il

Il sito dannoso cupomgratisfood{.}shop imita ottimamente un app store. Non \u00e8 chiaro il motivo per cui il falso INSS Reembolso appaia tutte e tre le volte. Per essere pi\u00f9 sicuri, forse?!<\/p><\/div>\n

L\u2019installazione avviene in pi\u00f9 fasi per evitare di richiedere troppe autorizzazioni contemporaneamente e abbassare ulteriormente la vigilanza della vittima. Dopo aver scaricato e avviato la prima app, viene visualizzata un\u2019interfaccia simile a Google Play che simula un aggiornamento dell\u2019app che fa da esca, richiedendo l\u2019autorizzazione dell\u2019utente per installare altre app, il che non sembra fuori dall\u2019ordinario, dato il contesto. Se si concede questa autorizzazione, il malware scarica moduli dannosi aggiuntivi nello smartphone.<\/p>\n

\"Dopo

Dopo l\u2019installazione, il trojan simula un aggiornamento di un\u2019app esca tramite Google Play richiedendo l\u2019autorizzazione per installare le applicazioni e durante il download di moduli dannosi aggiuntivi<\/p><\/div>\n

Tutti i componenti del trojan sono criptati. Prima di decriptare e procedere alle fasi successive dell\u2019infezione, il trojan verifica di trovarsi in uno smartphone reale e nel paese di destinazione. BeatBanker interrompe immediatamente il processo se rileva discrepanze o ambienti di emulazione o di analisi. Questo rende pi\u00f9 complicata l\u2019analisi dinamica del malware. Per inciso, il falso downloader degli aggiornamenti inietta i moduli direttamente nella RAM per evitare di creare file sullo smartphone che sarebbero visibili a software di protezione.<\/p>\n

Tutti questi trucchi non sono una novit\u00e0 e vengono usati di frequente in malware complessi per computer desktop. Tuttavia, per gli smartphone, tale sofisticatezza \u00e8 ancora una rarit\u00e0 e non tutti gli strumenti di protezione la individuano. Gli utenti di prodotti Kaspersky<\/a><\/strong>\u00a0sono protetti da questa minaccia.<\/p>\n

Riproduzione di audio come scudo<\/h2>\n

Una volta installato sullo smartphone, BeatBanker scarica un modulo per il mining della criptovaluta Monero. Gli autori erano evidentemente preoccupati che gli aggressivi sistemi di ottimizzazione della batteria dello smartphone potessero arrestare il miner, quindi hanno escogitato un trucco: riprodurre in continuazione un suono quasi impercettibile. I sistemi di controllo del consumo energetico solitamente risparmiano le app che eseguono la riproduzione di audio o video per evitare di interrompere la musica in sottofondo o i lettori di podcast. Con questo accorgimento, il malware pu\u00f2 essere eseguito continuamente. Oltre a ci\u00f2, visualizza una notifica persistente nella barra di stato che chiede all\u2019utente di tenere acceso il telefono per un aggiornamento del sistema.<\/p>\n

\"Esempio

Esempio di notifica persistente di aggiornamento del sistema da un\u2019altra app dannosa mascherata da app Starlink<\/p><\/div>\n

Controllo tramite Google<\/h2>\n

Per gestire il trojan, gli autori sfruttano il legittimo Firebase Cloud Messaging (FCM) di Google, un sistema per la ricezione di notifiche e l\u2019invio di dati da uno smartphone. Questa funzionalit\u00e0 \u00e8 disponibile per tutte le app ed \u00e8 il metodo pi\u00f9 diffuso per l\u2019invio e la ricezione di dati. Grazie a FCM, gli utenti malintenzionati possono monitorare lo stato del dispositivo e modificarne le impostazioni in base alle esigenze.<\/p>\n

Per un po\u2019, dopo l\u2019installazione del malware, non succede nulla: gli autori degli attacchi rimangono in attesa. A un certo punto attiveranno il miner, ma stando attenti a ridurne l\u2019attivit\u00e0 se il telefono si surriscalda, se la batteria inizia a scaricarsi o se il proprietario sta usando il dispositivo. Tutto questo viene gestito tramite FCM.<\/p>\n

Furto e spionaggio<\/h2>\n

Oltre al miner di criptovalute, BeatBanker installa moduli aggiuntivi per spiare l\u2019utente e rapinarlo al momento giusto. Il modulo spyware richiede l\u2019autorizzazione Servizi di accessibilit\u00e0 e, se questa viene concessa, inizia a monitorare tutto ci\u00f2 che accade nello smartphone.<\/p>\n

Se il proprietario apre l\u2019app Binance o Trust Wallet per inviare USDT, il malware sovrappone una schermata falsa sopra l\u2019interfaccia del portafoglio, scambiando di fatto l\u2019indirizzo del destinatario con il proprio. Tutti i trasferimenti di denaro confluiscono agli autori dell\u2019attacco.<\/p>\n

Il trojan \u00e8 dotato di un avanzato sistema di controllo remoto ed \u00e8 in grado di eseguire molti altri comandi:<\/p>\n