Trojan bancario BeatBanker

Entro Mezo nel Malware per dispositivi mobili, Trojan bancario

Traduci in:

BeatBanker è un sofisticato malware per Android distribuito tramite siti web fraudolenti progettati per imitare il Google Play Store. La campagna malevola induce gli utenti a scaricare applicazioni che sembrano legittime ma che in realtà contengono un potente trojan bancario combinato con funzionalità di mining di criptovalute. Una volta installato, il malware può dirottare il dispositivo infetto, manipolare le interfacce utente ed effettuare transazioni finanziarie non autorizzate. La rimozione immediata è essenziale non appena viene rilevata la minaccia, poiché il suo funzionamento continuato può comportare perdite finanziarie, violazioni della privacy e compromissione permanente del dispositivo.

Sommario

Tecniche di esecuzione senza file e anti-analisi

Una volta eseguito, BeatBanker inizia raccogliendo informazioni di rete essenziali, tra cui l'indirizzo IP del dispositivo, il tipo di dispositivo, lo stato di utilizzo della VPN e i relativi dettagli di connettività. Invece di memorizzare i suoi componenti dannosi come file nella memoria del dispositivo, il malware carica il suo codice direttamente nella memoria RAM. Questa tecnica di esecuzione senza file riduce significativamente la probabilità di rilevamento da parte dei tradizionali strumenti di sicurezza per dispositivi mobili.

Per eludere ulteriormente l'analisi, BeatBanker verifica se è in esecuzione all'interno di un ambiente di test o di ricerca, come un emulatore o una sandbox. Se vengono rilevate tali condizioni, il malware termina immediatamente la sua attività. Questo meccanismo di difesa contribuisce a impedire ai ricercatori di sicurezza informatica e ai sistemi automatizzati di analizzarne il comportamento.

Ingegneria sociale tramite pagine false del Google Play Store

Dopo aver superato i controlli ambientali, BeatBanker visualizza un'interfaccia contraffatta che somiglia molto alla pagina del Google Play Store di un'applicazione denominata "INSS Reembolso", affermando falsamente che è necessario un aggiornamento software. Quando l'utente seleziona l'opzione "Aggiorna", il malware richiede l'autorizzazione per installare applicazioni e scarica componenti dannosi nascosti.

Anziché affidarsi alla legittima infrastruttura di Google Play, il malware installa questi componenti direttamente abusando dei permessi di installazione elevati. Per mantenere la persistenza, il malware genera una falsa notifica di aggiornamento del sistema ed esegue un servizio in primo piano che riproduce silenziosamente contenuti multimediali, impedendo al sistema operativo di terminare il processo dannoso.

Estrazione di criptovalute sui dispositivi delle vittime

Uno dei payload nascosti di BeatBanker è un miner di criptovalute incorporato in un file scaricato. Questo componente è una versione modificata di XMRig progettata per sfruttare le risorse della CPU del dispositivo infetto al fine di estrarre criptovalute per conto degli aggressori.

Il malware gestisce in modo intelligente l'attività di mining monitorando parametri di sistema come il livello della batteria, la temperatura del dispositivo e l'attività dell'utente. In base a queste condizioni, il miner può avviare o sospendere automaticamente la sua attività per ridurre i sospetti e prolungare l'infezione.

Trojan bancari e meccanismi di furto di criptovalute

Oltre alla capacità di mining di criptovalute, BeatBanker distribuisce un trojan bancario che tenta di ottenere i permessi di accesso. La concessione di tali permessi consente agli aggressori di controllare l'interfaccia del dispositivo e monitorare le interazioni dell'utente.

Il malware traccia attivamente le applicazioni aperte e prende di mira specificamente piattaforme di criptovalute come Binance e Trust Wallet, concentrandosi in particolare sulle transazioni in USDT. Quando la vittima avvia un trasferimento, BeatBanker sovrappone all'interfaccia di transazione legittima una schermata fraudolenta. Durante questo processo, il malware sostituisce silenziosamente l'indirizzo del destinatario previsto con un indirizzo controllato dagli aggressori, causando il reindirizzamento dei fondi all'insaputa della vittima.

Il modulo bancario valuta anche la presenza di diversi browser mobili di uso comune e raccoglie informazioni sulla navigazione. Può manipolare i link salvati nel browser predefinito aggiungendo, modificando, eliminando o visualizzando voci, e può aprire URL forniti dall'attaccante.

Capacità di comando e controllo e manipolazione dei dispositivi

BeatBanker comunica con un server di comando e controllo (C2), consentendo agli aggressori di gestire da remoto i dispositivi infetti ed emettere comandi. Attraverso questa infrastruttura, il malware può eseguire un'ampia gamma di azioni dannose, tra cui la visualizzazione di falsi aggiornamenti di sistema, il blocco dello schermo del dispositivo, l'estrazione del contenuto degli appunti e la trasmissione di registrazioni audio agli autori della minaccia.

Tra le funzionalità aggiuntive figurano la possibilità di inviare messaggi SMS, aprire link controllati dall'attaccante nei browser, aggiornare le credenziali memorizzate ed elencare i file presenti sul dispositivo. Il malware può anche eseguire azioni distruttive come l'eliminazione di file, il ripristino delle impostazioni di fabbrica o la disinstallazione automatica per rimuovere ogni traccia al termine di un'operazione.

Funzionalità di sorveglianza ed esfiltrazione di dati

Oltre al furto finanziario, BeatBanker funziona come un sofisticato strumento di sorveglianza. È in grado di registrare i tasti premuti, estrarre il testo visualizzato sullo schermo, acquisire screenshot e trasmettere in streaming lo schermo del dispositivo in tempo reale. Il monitoraggio continuo delle applicazioni in esecuzione consente agli aggressori di osservare il comportamento dell'utente e raccogliere informazioni sensibili.

Il malware contiene inoltre ulteriori meccanismi di controllo del dispositivo, tra cui il monitoraggio delle applicazioni, un firewall integrato in grado di bloccare o consentire app selezionate, la creazione di notifiche persistenti e la possibilità di gestire le connessioni VPN.

Abuso delle autorizzazioni e meccanismi di persistenza

BeatBanker fa ampio uso di autorizzazioni Android ad alto rischio che estendono significativamente il suo controllo sul dispositivo. Queste autorizzazioni consentono al malware di persistere, automatizzare le azioni ed eseguire comandi all'insaputa dell'utente.

Le principali funzionalità abilitate da queste autorizzazioni includono:

Accesso accessibile, che consente tocchi, scorrimenti e manipolazione dell'interfaccia automatizzati.
Permessi di sovrapposizione che consentono la visualizzazione di schermate false sopra applicazioni legittime.
Autorizzazione all'installazione di applicazioni da fonti sconosciute, che consente l'installazione silenziosa di ulteriori componenti dannosi.
La capacità di aprire link, eseguire codici USSD e distribuire ulteriori pacchetti malware.

Questi privilegi trasformano il dispositivo infetto in una piattaforma controllabile da remoto, capace di eseguire complesse operazioni dannose.

Una nuova variante si presenta sotto le spoglie di un’applicazione StarLink.

Alcuni ricercatori di sicurezza hanno identificato una nuova variante di BeatBanker che si maschera da falsa applicazione StarLink e prende di mira gli utenti Android. A differenza delle versioni precedenti, questa variante non installa il tradizionale componente Trojan bancario.

Al contrario, distribuisce il Trojan di amministrazione remota (RAT) BTMOB. BTMOB garantisce agli aggressori l'accesso remoto completo ai dispositivi compromessi ed è distribuito come Malware-as-a-Service (MaaS), consentendo ai criminali informatici di acquistare e distribuire lo strumento senza dover sviluppare una propria infrastruttura malware.

Vettore di infezione e impatto operativo

Le infezioni da BeatBanker iniziano in genere con una campagna di phishing che indirizza le vittime verso siti web fraudolenti progettati per assomigliare al Google Play Store ufficiale. Gli utenti vengono persuasi a scaricare applicazioni dannose che si spacciano per servizi governativi come "INSS Reembolso" o simili app di utilità fasulle.

Un dispositivo viene compromesso nel momento in cui la vittima installa l'applicazione contraffatta. Dopo l'attivazione, BeatBanker scarica componenti aggiuntivi, tra cui il miner di criptovalute, e stabilisce un accesso permanente al dispositivo.

Le capacità combinate del malware consentono agli aggressori di estrarre criptovalute, rubare dati finanziari, manipolare transazioni e mantenere il controllo remoto sui dispositivi infetti. Alcune varianti distribuiscono anche malware aggiuntivo come BTMOB, garantendo agli avversari un accesso prolungato e illimitato ai sistemi compromessi.

La dichiarazione di fallimento del processore di pagamento di EnigmaSoft Digital River GmbH non influisce sulla protezione anti-malware dei clienti di SpyHunter

Ricerca

Cambia regione

Trojan bancario BeatBanker

Tecniche di esecuzione senza file e anti-analisi

Ingegneria sociale tramite pagine false del Google Play Store

Estrazione di criptovalute sui dispositivi delle vittime

Trojan bancari e meccanismi di furto di criptovalute

Capacità di comando e controllo e manipolazione dei dispositivi

Funzionalità di sorveglianza ed esfiltrazione di dati

Abuso delle autorizzazioni e meccanismi di persistenza

Una nuova variante si presenta sotto le spoglie di un’applicazione StarLink.

Vettore di infezione e impatto operativo

Invia commento

Tendenza

Precludestore.com

Tarwils.com

Suddslife.com

I più visti

Come correggere l'errore "Driver della stampante non...

Come risolvere "macOS non può verificare che questa...

Discord mostra lo schermo nero durante la...