Kaspersky scopre BeatBanker Trojan Android che mina Monero e ruba criptovalute

Kaspersky ha individuato BeatBanker, un sofisticato Trojan Android che combina capacità di cryptomining e banking malware, colpendo in particolare utenti in Brasile attraverso campagne di phishing mirate. Il malware mina Monero in background mentre intercetta transazioni di criptovalute come USDT su applicazioni finanziarie diffuse. La minaccia integra tecniche di persistenza avanzata e funzioni di controllo remoto. La scoperta evidenzia l’evoluzione del panorama malware mobile, dove le minacce combinano più funzionalità offensive in un’unica piattaforma. BeatBanker non si limita infatti al mining nascosto ma include moduli per il furto di criptovalute e varianti che distribuiscono il RAT BTMOB per il controllo completo del dispositivo. La campagna dimostra come il cybercrime stia sfruttando applicazioni Android, criptovalute e social engineering per colpire utenti in economie emergenti.

Kaspersky identifica BeatBanker come Trojan Android multifunzione

L’analisi condotta da Kaspersky classifica BeatBanker come un Trojan Android dual-mode capace di svolgere contemporaneamente attività di mining e furto finanziario. Il malware si diffonde principalmente tramite siti di phishing progettati per imitare il Google Play Store o portali istituzionali brasiliani. Uno dei vettori principali è una falsa applicazione chiamata INSS Reembolso, che simula servizi legati al sistema di previdenza sociale brasiliano. Gli utenti vengono convinti a scaricare manualmente l’APK da siti malevoli come cupomgratisfood.shop, aggirando così i controlli dello store ufficiale. Una volta installato, l’APK iniziale contiene una libreria nativa denominata libludwwiuh.so, utilizzata per decifrare un file ELF nascosto chiamato l.so. Questo componente carica codice DEX direttamente in memoria tramite dalvik.system.InMemoryDexClassLoader, tecnica che permette al malware di evitare il rilevamento statico.

Il malware include anche meccanismi di anti-analisi. Durante l’esecuzione verifica la presenza di emulatori o ambienti di debugging controllando parametri come CPU_ABI. Se rileva un ambiente sospetto, BeatBanker termina immediatamente il processo tramite android.os.Process.killProcess, rendendo più complessa l’analisi da parte dei ricercatori.

BeatBanker utilizza XMRig per il mining nascosto di Monero

Una delle componenti principali del malware è il miner di criptovalute integrato. BeatBanker utilizza una versione compilata per architetture ARM di XMRig 6.17.0, uno dei software più diffusi per il mining della criptovaluta Monero. Il codice miner è distribuito come libreria binaria libmine-.so, che il malware rinomina in d-miner durante l’installazione. Una volta avviato, il miner si connette a server controllati dagli attaccanti, tra cui pool.fud2026.com:9000 e pool-proxy.fud2026.com:9000. La comunicazione utilizza connessioni cifrate tramite l’opzione –tls, mentre parametri come –nicehash permettono la compatibilità con protocolli di mining diffusi nel settore delle criptovalute. Per ridurre la probabilità di rilevamento, BeatBanker disabilita output visivi con l’opzione –no-color.

Il malware raccoglie costantemente informazioni sullo stato del dispositivo tramite Firebase Cloud Messaging. Tra i parametri monitorati figurano batteryLevel, isCharging, temperature e isUserAway. Il miner viene attivato solo quando il dispositivo è in carica e l’utente non lo sta utilizzando, riducendo l’impatto sulle prestazioni percepite. Questa strategia consente agli attaccanti di sfruttare CPU e batteria dei dispositivi infetti per generare criptovaluta senza attirare immediatamente l’attenzione della vittima.

BeatBanker intercetta transazioni USDT su app crypto e wallet digitali

Oltre al mining, BeatBanker integra funzionalità di banking malware progettate per intercettare transazioni di criptovalute. Il Trojan monitora le applicazioni in esecuzione sul dispositivo e identifica specificamente wallet e piattaforme di trading. Tra le app monitorate figurano Binance con package com.binance.dev e Trust Wallet con package com.wallet.crypto.trustapp.

Quando l’utente avvia una di queste applicazioni, il malware attiva un sistema di overlay fraudolento. Attraverso le API di accessibilità Android, BeatBanker utilizza l’azione AccessibilityNodeInfo.ACTION_SET_TEXT per modificare automaticamente gli indirizzi dei wallet durante le transazioni. In pratica sostituisce l’indirizzo originale con uno controllato dagli attaccanti, dirottando così i trasferimenti di USDT. Il malware monitora anche numerosi browser Android, tra cui Chrome, Firefox, Brave, Opera, Edge, DuckDuckGo Browser e Samsung Internet. Utilizzando espressioni regolari analizza gli URL visitati per identificare pagine di login o portali finanziari. Questa combinazione di tecniche rende BeatBanker una minaccia particolarmente efficace nel furto di criptovalute, poiché opera direttamente nell’interfaccia utente delle applicazioni legittime.

Le varianti BeatBanker distribuiscono il RAT BTMOB

Durante l’analisi, i ricercatori hanno individuato varianti del malware che non installano il modulo banker ma distribuiscono invece il RAT BTMOB, un trojan di accesso remoto evoluto. BTMOB deriva da precedenti strumenti malware come CraxsRAT e CypherRAT, ed è distribuito come piattaforma Malware-as-a-Service tramite siti come btmob.xyz e canali Telegram underground.

Il codice del RAT utilizza tecniche di offuscazione XOR per nascondere configurazioni e comandi. Una volta installato, il malware richiede automaticamente permessi di sistema, inclusi accessibilità, overlay e accesso alla fotocamera.

Con queste autorizzazioni il RAT può:

registrare lo schermo del dispositivo
intercettare credenziali inserite tramite PIN o pattern
monitorare i tasti digitati
accedere alla fotocamera e al GPS
trasmettere dati sensibili al server di comando

Il malware include anche meccanismi per sopravvivere al riavvio del dispositivo e per impedire la disinstallazione o il reset di sicurezza.

Tecniche di persistenza e comunicazione con i server C2

Una delle caratteristiche più insolite di BeatBanker riguarda il sistema di persistenza basato su audio. Il malware utilizza un servizio chiamato KeepAliveServiceMediaPlayback, che riproduce continuamente un file audio denominato output8.mp3. Il file dura circa cinque secondi e contiene parole in lingua cinese. L’audio è progettato per essere praticamente impercettibile, ma consente all’applicazione di mantenere un processo attivo in foreground, evitando la chiusura automatica da parte del sistema Android. Il malware utilizza inoltre notifiche pinnate per mantenere il servizio in esecuzione continua. Questa tecnica consente al processo di restare attivo anche quando il sistema tenta di liberare memoria o ridurre l’attività delle app in background. Per la comunicazione con l’infrastruttura degli attaccanti BeatBanker sfrutta Firebase Cloud Messaging, un servizio legittimo utilizzato da molte applicazioni Android. Attraverso FCM gli operatori possono inviare comandi ai dispositivi infetti senza utilizzare infrastrutture C2 tradizionali facilmente individuabili. I server associati alla campagna includono domini come:

fud2026.com
accessor.fud2026.com
aptabase.fud2026.com
pool.fud2026.com

Questa infrastruttura gestisce sia il mining sia il controllo remoto dei dispositivi compromessi.

Indicatori di compromissione e domini malevoli

Kaspersky ha pubblicato diversi indicatori di compromissione (IOC) per facilitare il rilevamento della minaccia nei sistemi di sicurezza.

Tra gli hash identificati figurano:

MD5 F6C979198809E13859196B135D21E79B, associato all’applicazione INSS Reembolso
MD5 D3005BF1D52B40B0B72B3C3B1773336B, associato alla variante StarLink

I ricercatori hanno inoltre individuato diversi domini legati all’infrastruttura malware, tra cui cupomgratisfood.shop, fud2026.com, pool.fud2026.com e btmob.xyz. Altri indicatori includono file come output8.mp3, il miner d-miner e registrazioni audio salvate nel percorso /Config/sys/apps/rc/ con nomi contenenti timestamp. Queste informazioni permettono ai team di sicurezza e agli strumenti antivirus di identificare rapidamente eventuali infezioni.

Il Brasile emerge come principale bersaglio della campagna

Le indagini indicano che la campagna BeatBanker è fortemente concentrata sul Brasile, dove gli attaccanti sfruttano temi locali per convincere gli utenti a installare applicazioni malevole. L’uso del nome INSS rappresenta un esempio di social engineering mirato, poiché richiama direttamente l’istituto nazionale di previdenza sociale brasiliano. Questo aumenta la credibilità delle applicazioni fasulle e rende più probabile l’installazione da parte degli utenti. Inoltre la diffusione del malware tramite WhatsApp, una piattaforma estremamente popolare nel paese, contribuisce alla rapida propagazione della minaccia. Gli analisti sottolineano che le economie emergenti rappresentano spesso bersagli privilegiati per i cybercriminali a causa della crescita rapida dell’adozione digitale e della minore consapevolezza dei rischi di sicurezza.

Raccomandazioni di sicurezza per difendersi dal malware

Per ridurre il rischio di infezione, Kaspersky raccomanda una serie di pratiche di sicurezza di base per gli utenti Android. La prima misura consiste nel scaricare applicazioni esclusivamente da Google Play o da store ufficiali verificati. Le installazioni manuali tramite file APK provenienti da siti web non affidabili rappresentano uno dei principali vettori di infezione. È inoltre fondamentale controllare con attenzione i permessi richiesti dalle applicazioni, in particolare accessibilità, overlay e installazione da fonti sconosciute. Queste autorizzazioni vengono spesso sfruttate dai malware per ottenere il controllo del dispositivo. L’uso di una soluzione antivirus mobile aggiornata può aiutare a rilevare varianti di BeatBanker identificate come HEUR:Trojan-Dropper.AndroidOS.BeatBanker o HEUR:Trojan-Dropper.AndroidOS.Banker. Gli esperti consigliano anche di mantenere Android aggiornato, monitorare le applicazioni installate e rimuovere immediatamente eventuali software sospetti.

L’evoluzione delle minacce Android nel contesto delle criptovalute

BeatBanker rappresenta un esempio significativo della trasformazione del malware mobile. In passato molte minacce Android erano limitate al furto di SMS o credenziali bancarie, mentre oggi integrano funzioni multiple come cryptomining, spyware e remote access trojan. L’uso combinato di Monero mining, hijacking di transazioni USDT e distribuzione di RAT dimostra come i cybercriminali stiano costruendo piattaforme malware modulari capaci di monetizzare l’infezione in diversi modi. Un altro aspetto rilevante è l’utilizzo di servizi legittimi come Firebase Cloud Messaging per la comunicazione con i server di comando. Questo approccio rende più difficile individuare il traffico malevolo e dimostra una crescente professionalizzazione del cybercrime mobile. Secondo gli analisti, il modello Malware-as-a-Service utilizzato per strumenti come BTMOB facilita ulteriormente la diffusione di queste minacce, consentendo anche a criminali con competenze tecniche limitate di lanciare campagne malware.

Impatto su utenti e organizzazioni

Le conseguenze di un’infezione da BeatBanker possono essere significative sia per gli utenti privati sia per le organizzazioni. Dal punto di vista finanziario, il malware può dirottare transazioni di criptovalute verso wallet controllati dagli attaccanti, causando perdite dirette di asset digitali. Allo stesso tempo il miner integrato consuma risorse hardware, provocando surriscaldamento, consumo anomalo di batteria e rallentamenti del dispositivo. Le funzionalità di registrazione audio, keylogging e monitoraggio dello schermo comportano inoltre un elevato rischio di esposizione di dati sensibili. In contesti aziendali, l’infezione di dispositivi mobili utilizzati per lavoro può trasformarsi in un problema di sicurezza più ampio, consentendo agli attaccanti di raccogliere informazioni interne o accedere a account aziendali. Per questo motivo gli esperti raccomandano alle organizzazioni di implementare politiche di sicurezza mobile, formazione anti-phishing e sistemi di monitoraggio delle applicazioni installate sui dispositivi aziendali.