Indice
- 1 Il codice malevolo sfrutta pagine di download contraffatte per infiltrarsi nei telefoni Android e monitorare attività, posizione e dati sensibili degli utenti
- 2 Come funziona la trappola del falso Google Play
- 3 Miner nascosto e controllo remoto dello smartphone
- 4 Il “suono fantasma” che mantiene attivo il malware
- 5 Perché i brand famosi diventano esche perfette
- 6 Come difendersi dalle app malevole
Il codice malevolo sfrutta pagine di download contraffatte per infiltrarsi nei telefoni Android e monitorare attività, posizione e dati sensibili degli utenti
Non c’è pace per gli utenti Android. Una nuova minaccia informatica torna infatti a mettere sotto pressione i proprietari di smartphone, sfruttando un nome che negli ultimi anni ha conquistato milioni di utenti: Starlink. A lanciare l’allarme è il team globale di ricerca e analisi di Kaspersky, noto come GReAT (Global Research and Analysis Team), che ha individuato una campagna malware basata su un trojan chiamato BeatBanker. Il software malevolo si nasconde dietro applicazioni apparentemente legittime e cerca di convincere gli utenti a installarle sul proprio smartphone.
Gli esperti hanno scoperto che il malware può presentarsi sotto due identità diverse. In alcuni casi imita una falsa applicazione Starlink, sfruttando la popolarità della rete satellitare di Elon Musk. In altri scenari assume invece le sembianze di una presunta app governativa chiamata INSS Reembolso, collegata all’istituto previdenziale brasiliano.
Le prime attività sospette sono state rilevate soprattutto in Brasile, ma secondo i ricercatori il meccanismo di diffusione può facilmente varcare i confini nazionali. Il motivo è semplice: il nome Starlink ha una risonanza globale e rappresenta un’esca perfetta per i cybercriminali.
Secondo Kaspersky, la campagna dimostra quanto i criminali informatici stiano diventando sempre più abili nello sfruttare marchi noti e servizi popolari per attirare le vittime.
Altre notizie selezionate per te:
Truffa dello scontrino bancomat, l’allarme e i consigli della Fabi
Truffa del CAF e della ASL via SMS: così svuotano il credito telefonico
“Truffa della ballerina” su WhatsApp: come funziona e come evitarla
Come funziona la trappola del falso Google Play
La distribuzione del malware segue uno schema piuttosto sofisticato e curato nei dettagli. Gli utenti vengono indirizzati verso pagine di phishing che riproducono fedelmente l’interfaccia del Google Play Store.
A prima vista tutto appare autentico: grafica, pulsanti, descrizioni dell’applicazione. Chi arriva su queste pagine crede di trovarsi davanti alla piattaforma ufficiale di download. Quando però si preme il tasto per scaricare l’applicazione, il sistema avvia l’installazione del trojan. Il malware si introduce così nello smartphone e mostra una serie di schermate ingannevoli. Lo scopo è ottenere le autorizzazioni necessarie per funzionare senza ostacoli.
Tra i permessi richiesti compaiono quelli legati all’accessibilità e alla gestione del dispositivo. Con queste autorizzazioni il software riesce ad aprire la porta ad altri moduli malevoli e consolidare la sua presenza nel telefono. Una volta completata l’installazione, BeatBanker attiva una doppia offensiva informatica.
Altre news per te:
Allarme phishing, attenti al finto controllo sicurezza di Google
Utenti Apple sotto attacco, lo spyware Predator spia con fotocamera e microfono
Milioni di smartphone minacciati da centinaia di app: la truffa IconAds
Miner nascosto e controllo remoto dello smartphone
Il primo componente del malware trasforma lo smartphone in una miniera di criptovalute. BeatBanker integra infatti un miner progettato per generare Monero, una valuta digitale molto usata nel mondo del cybercrimine perché garantisce elevati livelli di anonimato. Il comportamento del miner rivela una progettazione piuttosto raffinata. Il software monitora costantemente temperatura del dispositivo, livello della batteria e attività dell’utente. Il controllo continuo serve a evitare surriscaldamenti evidenti o cali improvvisi di prestazioni che potrebbero insospettire la vittima.
Il secondo elemento della minaccia è ancora più pericoloso. BeatBanker installa infatti un Remote Access Trojan (RAT) chiamato BTMOB RAT, uno strumento che consente agli aggressori di controllare completamente il dispositivo compromesso. Il malware, spesso venduto nei circuiti del dark web, può eseguire numerose operazioni criminali. Tra queste figurano il furto di PIN e password, il monitoraggio della posizione GPS e perfino l’attivazione delle fotocamere dello smartphone senza che l’utente se ne accorga.
Il “suono fantasma” che mantiene attivo il malware
Uno degli aspetti più insoliti della minaccia riguarda il sistema utilizzato dal malware per restare attivo. BeatBanker adotta infatti un meccanismo di persistenza davvero curioso. Il trojan riproduce continuamente in background un file audio quasi impercettibile. Questo suono, definito dai ricercatori una sorta di “audio fantasma”, mantiene l’applicazione in esecuzione come se fosse un normale servizio multimediale.
In questo modo il malware riesce a ingannare i sistemi di gestione energetica di Android, che tendono a chiudere automaticamente le app inattive. Il trucco consente al software malevolo di restare attivo anche quando lo smartphone sembra inutilizzato. Per l’utente diventa così più difficile individuare il problema o disinstallare l’applicazione infetta.
Perché i brand famosi diventano esche perfette
Le campagne di malware che sfruttano marchi conosciuti rappresentano una strategia sempre più diffusa. Il motivo è semplice: la fiducia degli utenti. Quando un’applicazione richiama un servizio popolare, molti utenti abbassano la guardia. Il caso di Starlink è emblematico. La rete satellitare di SpaceX ha acquisito una visibilità globale e il suo nome viene associato a tecnologia avanzata e connettività veloce.
Proprio questa notorietà diventa una leva psicologica per i cybercriminali. Un’app che promette accesso ai servizi Starlink può apparire credibile e convincere gli utenti a scaricarla senza troppe verifiche. Gli esperti ricordano quindi che la sicurezza passa prima di tutto da una maggiore attenzione alle fonti di download.
Come difendersi dalle app malevole
La regola più importante consiste nel scaricare applicazioni solo dagli store ufficiali, evitando link ricevuti tramite messaggi, email o social network. Anche negli store ufficiali conviene comunque esaminare alcuni dettagli prima di procedere all’installazione. Tra questi figurano recensioni degli utenti, numero di download e nome dello sviluppatore.
Un altro segnale da osservare riguarda i permessi richiesti dall’applicazione. Se un programma chiede accesso a funzioni che non hanno relazione con il suo utilizzo, è opportuno fermarsi e verificare. Gli specialisti suggeriscono infine di mantenere aggiornati sistema operativo e software di sicurezza, strumenti che aiutano a bloccare molte minacce prima che possano entrare in azione.
A cura della Redazione GTNews
Link utili:
Soluzioni di cybersicurezza Kaspersky per le aziende e gli utenti privati | Kaspersky
