Ricerca
App

Se hai scaricato questa famosa app, il tuo telefono potrebbe essere già sotto controllo

Christian Camberini Christian Camberini
//
17 Marzo 2026
pericolo app

Indice

Se hai scaricato questa famosa applicazione, il tuo telefono potrebbe efefttivamente essere già sotto controllo.

Una app che sembra legata a Starlink, il servizio satellitare di connessione internet. Nome credibile, grafica simile a quella delle app ufficiali, istruzioni semplici. Alcuni utenti Android l’hanno installata pensando di scaricare uno strumento utile. In realtà, dietro quell’applicazione si nascondeva un malware chiamato BeatBanker.

La scoperta arriva dal Global Research and Analysis Team (GReAT) di Kaspersky, che ha individuato una nuova campagna di diffusione del trojan. Il bersaglio principale sembra essere il Brasile, ma il tipo di distribuzione non è limitato a un singolo Paese. Le stesse tecniche possono circolare ovunque compaia il link giusto.

Come funziona la trappola

L’app non viene diffusa attraverso il vero Google Play Store. I criminali utilizzano pagine web che imitano l’aspetto dello store ufficiale. Chi arriva su queste pagine vede una schermata molto simile a quella originale: icona dell’app, descrizione, pulsanti di installazione.

pericolo app
Di cosa si tratta (www.mistergadget.tech)

Quando l’utente avvia il download e apre l’applicazione, compare un’interfaccia che replica ancora una volta Google Play. A quel punto viene richiesto un aggiornamento. Chi preme il pulsante “Aggiorna” consente in realtà l’installazione di altri componenti nascosti.

Il primo elemento installato è un miner di criptovaluta Monero. Il telefono viene usato per generare criptovaluta sfruttando il processore del dispositivo.

Il sistema non resta sempre attivo allo stesso modo. Il malware osserva alcune variabili del telefono, come livello della batteria, temperatura del dispositivo e attività dell’utente. In base a questi dati decide quando avviare o interrompere il processo di mining.

Il controllo remoto del dispositivo

La variante individuata più di recente non si limita al mining. Il trojan installa anche BTMOB, uno strumento di amministrazione remota.

Si tratta di un RAT (Remote Access Trojan) venduto come servizio nel mercato del cybercrime. Una volta attivo sul dispositivo, consente il controllo remoto del telefono.

Il software può ottenere automaticamente alcune autorizzazioni di sistema, nascondere notifiche e raccogliere dati dal dispositivo. Tra le informazioni accessibili ci sono PIN di sblocco, password e sequenze grafiche utilizzate per bloccare lo schermo.

Il malware può inoltre accedere alle fotocamere del dispositivo, monitorare la posizione GPS e raccogliere dati dal telefono nel tempo.

In pratica il dispositivo resta nelle mani del proprietario, ma alcune funzioni possono essere gestite a distanza.

Il meccanismo che mantiene il malware attivo

Una caratteristica particolare di BeatBanker riguarda il sistema utilizzato per restare attivo sul telefono.

Il malware mantiene una notifica fissa in primo piano e attiva un servizio di sistema che riproduce un file audio quasi impercettibile. Questa riproduzione continua serve a impedire al sistema operativo Android di interrompere il processo.

Il sistema operativo tende a chiudere alcune attività che restano troppo a lungo in background. Con questo espediente il malware evita di essere terminato automaticamente.

Il risultato è un processo che continua a funzionare anche quando il telefono viene usato normalmente.

Perché la diffusione può estendersi ad altri Paesi

Secondo Kaspersky, la campagna osservata riguarda soprattutto utenti brasiliani. Tuttavia il metodo di distribuzione non dipende da una lingua o da un’area geografica specifica.

Le pagine di phishing che imitano il Google Play Store possono essere replicate facilmente. Basta un link condiviso su siti web, messaggi o social network.

Gli utenti Android sono abituati a installare applicazioni legate a servizi digitali, connessioni internet o strumenti di utilità. Quando il nome dell’app richiama un servizio noto, il rischio di installazione aumenta.

I prodotti di sicurezza Kaspersky identificano questa minaccia con le sigle HEUR:Trojan-Dropper.AndroidOS.BeatBanker e HEUR:Trojan-Dropper.AndroidOS.Banker.

Nel contesto attuale, lo smartphone contiene accessi a servizi bancari, account digitali, messaggi e dati personali. Quando un malware riesce a installarsi sul dispositivo, una parte di queste informazioni può essere raccolta o utilizzata da remoto.

Il problema non riguarda solo un’app specifica. Riguarda il modo in cui le applicazioni vengono scaricate e autorizzate sul telefono.

Change privacy settings
×