Come rimuovere BeatBanker dai dispositivi Android

Che tipo di malware è BeatBanker?

BeatBanker è un malware per Android diffuso tramite siti web fasulli che si spacciano per il Google Play Store. Funziona sia come trojan bancario, che prende il controllo dei dispositivi e altera le schermate, sia come miner di criptovalute. Se rilevato su un dispositivo, BeatBanker deve essere rimosso il prima possibile per evitare perdite finanziarie e altre conseguenze.

Panoramica su BeatBanker

Quando il malware BeatBanker viene eseguito per la prima volta, verifica alcuni dati di rete di base, quali l'indirizzo IP del dispositivo, se si tratta di un telefono cellulare, se l'utente sta utilizzando una VPN e altre informazioni di rete correlate. Anziché salvare il proprio codice dannoso sotto forma di file sul telefono, BeatBanker carica il codice direttamente nella memoria del dispositivo.

Poiché non vengono scritti file sul dispositivo, per le app di sicurezza è più difficile rilevare BeatBanker. Inoltre, il malware verifica se è in esecuzione in un ambiente di test o di analisi (ad esempio, un emulatore). Se ne rileva uno, si spegne immediatamente per evitare di essere analizzato.

Successivamente, BeatBanker mostra una pagina fasulla che assomiglia al Google Play Store per INSS Reembolso, sostenendo che è disponibile un aggiornamento. Quando la vittima tocca "Aggiorna", il malware richiede l'autorizzazione per installare app e scarica componenti dannosi nascosti. Anziché utilizzare il vero Google Play Store, installa questi file direttamente avvalendosi di autorizzazioni speciali.

Per rimanere attivo, il malware mantiene sullo schermo una falsa notifica di aggiornamento del sistema ed esegue un servizio in primo piano con riproduzione multimediale silenziosa, il che impedisce al sistema di bloccarlo. Inoltre, quando la vittima clicca su "Aggiorna" nella falsa schermata del Google Play Store, il malware scarica di nascosto un file contenente un software di cryptomining.

Il cryptominer scaricato (una versione modificata di XMRig) utilizza la CPU del telefono della vittima per estrarre criptovaluta a vantaggio degli autori dell'attacco. BeatBanker è in grado di monitorare lo stato della batteria, la temperatura e l'attività dell'utente del telefono per decidere quando avviare o interrompere il cryptominer.

Modulo bancario

BeatBanker utilizza un trojan bancario insieme al crypto miner. Cerca di indurre la vittima a concedere permessi di accesso, consentendo così ai criminali informatici di assumere il controllo dell'interfaccia del dispositivo. Il malware verifica quali app sono aperte e prende di mira Binance e Trust Wallet (concentrandosi in particolare sulle transazioni in USDT).

Quando la vittima cerca di inviare fondi, una pagina falsa si sovrappone alla schermata della transazione e modifica di nascosto l'indirizzo del destinatario sostituendolo con quello dell'autore dell'attacco. Quando ricorrono a tali tecniche, i criminali informatici cercano di indurre le vittime a credere di inviare criptovalute all'indirizzo da loro fornito, mentre in realtà queste vengono inviate agli autori dell'attacco.

Inoltre, il modulo bancario di BeatBanker verifica se sono installati Brave, Chrome, Dolphin Browser, DuckDuckGo, Edge, Firefox, Opera e sBrowser. Successivamente, raccoglie i siti web visitati dalla vittima ed è in grado di gestire i link salvati nel browser predefinito (aggiungere, modificare, eliminare, visualizzare l'elenco) e di aprire i link forniti dagli autori dell'attacco.

Comandi supportati

BeatBanker è in grado di ricevere comandi dal server C2 e di eseguire diverse azioni dannose sul dispositivo infetto. Può visualizzare falsi aggiornamenti software, bloccare lo schermo, acquisire dati dagli appunti, elencare le registrazioni audio (e inviarle ai criminali informatici), aprire collegamenti nei browser, aggiornare le credenziali di accesso e inviare SMS.

Inoltre, è in grado di cancellare tutti i dati (eseguire un ripristino delle impostazioni di fabbrica), eliminare file o disinstallarsi autonomamente. BeatBanker può anche registrare ciò che l'utente digita, leggere il testo visualizzato sullo schermo, acquisire schermate e trasmettere lo schermo in streaming in tempo reale. Inoltre, può monitorare le app, bloccare o consentire l'accesso alle applicazioni tramite un firewall integrato, creare notifiche persistenti e gestire una connessione VPN.

È importante sottolineare che BeatBanker può richiedere diverse autorizzazioni, quali l'accesso alle funzioni di accessibilità, la possibilità di visualizzarsi sopra altre app e l'autorizzazione a installare app da fonti sconosciute. Grazie a queste autorizzazioni, l'app può toccare o scorrere automaticamente lo schermo, aprire link, eseguire codici USSD e installare app aggiuntive.

Nuova variante

È stata individuata una nuova variante di BeatBanker, camuffata da falsa app StarLink, che prende di mira anche gli utenti Android. Anche questa versione include un crypto miner, ma non installa il trojan bancario. Al suo posto, rilascia il trojan di amministrazione remota (RAT) BTMOB. BTMOB consente agli hacker di controllare completamente i dispositivi infetti ed è venduto come Malware-as-a-Service (MaaS).

Conclusione

BeatBanker è un malware per Android in grado di minare criptovalute, rubare dati bancari e consentire il controllo remoto dei dispositivi. Utilizza tecniche di persistenza e autorizzazioni nascoste per non essere rilevato mentre raccoglie dati sensibili e monitora l'attività degli utenti. Alcune varianti installano anche BTMOB, garantendo agli autori degli attacchi l'accesso completo e il controllo a lungo termine dei dispositivi infetti.

Altri esempi di malware che prendono di mira i dispositivi Android sono Massiv, PromptSpy e Oblivion.

Come ha fatto BeatBanker a infiltrarsi nel mio dispositivo?

BeatBanker infetta i dispositivi tramite un sito web fasullo che assomiglia al Google Play Store. Gli utenti vengono indotti con l'inganno a installare un'app dannosa camuffata da INSS Reembolso o da qualche altra app governativa fasulla. Il dispositivo viene infettato quando l'utente installa l'app fasulla. Una volta attivato, BeatBanker scarica componenti aggiuntivi, come un crypto miner.

Come evitare l'installazione di malware?

Mantieni aggiornati il sistema operativo e le app e scarica software solo da fonti affidabili, come siti web ufficiali o app store. Fai attenzione alle e-mail o ai messaggi inattesi e non cliccare sui link né aprire allegati a meno che tu non sia sicuro che siano sicuri.

Durante la navigazione, evita di cliccare su finestre pop-up, annunci pubblicitari o link presenti su siti sospetti e rifiuta le richieste di notifica provenienti da siti non affidabili. Esegui regolarmente una scansione del tuo dispositivo con un software di sicurezza affidabile per individuare e rimuovere eventuali minacce.

Pannello di amministrazione di BeatBanker (fonte: securelist.com):

Sovrapposizioni visualizzate da BeatBanker (fonte: securelist.com):

Menu rapido:

• Introduzione
• Come eliminare la cronologia di navigazione dal browser Chrome?
• Come disattivare le notifiche nel browser Chrome?
• Come ripristinare le impostazioni predefinite del browser Chrome?
• Come eliminare la cronologia di navigazione dal browser Firefox?
• Come disattivare le notifiche nel browser Firefox?
• Come ripristinare le impostazioni predefinite del browser Firefox?
• Come disinstallare le applicazioni potenzialmente indesiderate e/o dannose?
• Come avviare il dispositivo Android in "Modalità provvisoria"?
• Come verificare il consumo della batteria delle varie applicazioni?
• Come controllare il consumo di dati delle varie applicazioni?
• Come installare gli ultimi aggiornamenti software?
• Come ripristinare le impostazioni predefinite del sistema?
• Come disabilitare le applicazioni che dispongono di privilegi di amministratore?

Elimina la cronologia di navigazione dal browser Chrome:

Tocca il pulsante "Menu" (i tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Cronologia" nel menu a tendina che si apre.

Tocca "Cancella dati di navigazione", seleziona la scheda "AVANZATE", scegli l'intervallo di tempo e i tipi di dati che desideri eliminare, quindi tocca "Cancella dati".

[Torna al Sommario]

Disattiva le notifiche nel browser Chrome:

Tocca il pulsante "Menu" (i tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Impostazioni" nel menu a tendina che si apre.

Scorri verso il basso fino a visualizzare l'opzione "Impostazioni sito" e toccala. Scorri verso il basso fino a visualizzare l'opzione "Notifiche" e toccala.

Individua i siti web che inviano notifiche tramite browser, toccali e clicca su "Cancella e ripristina". In questo modo verranno revocate le autorizzazioni concesse a questi siti web per l'invio di notifiche. Tuttavia, quando visiterai nuovamente lo stesso sito, potrebbe chiederti nuovamente l'autorizzazione. Puoi scegliere se concedere o meno queste autorizzazioni (se scegli di rifiutarle, il sito web verrà spostato nella sezione "Bloccati" e non ti chiederà più l'autorizzazione).

[Torna al Sommario]

Ripristina il browser Chrome:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccala.

Scorri verso il basso fino a trovare l'applicazione "Chrome", selezionala e tocca l'opzione "Spazio di archiviazione".

Tocca "GESTISCI SPAZIO DI MEMORIA", poi "CANCELLA TUTTI I DATI" e conferma l'operazione toccando "OK". Tieni presente che il ripristino del browser comporterà l'eliminazione di tutti i dati in esso memorizzati. Ciò significa che verranno cancellati tutti gli accessi e le password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati. Dovrai inoltre effettuare nuovamente l'accesso a tutti i siti web.

[Torna al Sommario]

Elimina la cronologia di navigazione dal browser Firefox:

Tocca il pulsante "Menu" (i tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Cronologia" nel menu a tendina che si apre.

Scorri verso il basso fino a visualizzare "Cancella dati privati" e toccalo. Seleziona i tipi di dati che desideri eliminare e tocca "CANCELLA DATI".

[Torna al Sommario]

Disattiva le notifiche nel browser Firefox:

Visita il sito web che invia le notifiche del browser, tocca l'icona visualizzata a sinistra della barra degli indirizzi (l'icona non sarà necessariamente un "Lucchetto") e seleziona "Modifica impostazioni sito".

Nella finestra pop-up che si apre, seleziona l'opzione "Notifiche" e tocca "CANCELLA".

[Torna al Sommario]

Ripristina il browser web Firefox:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccala.

Scorri verso il basso fino a trovare l'applicazione "Firefox", selezionala e tocca l'opzione "Spazio di archiviazione".

Tocca "CANCELLA DATI" e conferma l'operazione toccando "ELIMINA". Tieni presente che il ripristino delle impostazioni di fabbrica del browser comporterà la cancellazione di tutti i dati in esso memorizzati. Ciò significa che verranno eliminati tutti gli accessi e le password salvati, la cronologia di navigazione, le impostazioni personalizzate e altri dati. Dovrai inoltre effettuare nuovamente l'accesso a tutti i siti web.

[Torna al Sommario]

Disinstallare le applicazioni potenzialmente indesiderate e/o dannose:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccala.

Scorri verso il basso fino a individuare un'applicazione potenzialmente indesiderata e/o dannosa, selezionala e tocca "Disinstalla". Se, per qualche motivo, non riesci a rimuovere l'app selezionata (ad esempio, viene visualizzato un messaggio di errore), prova a utilizzare la "Modalità provvisoria".

[Torna al Sommario]

Avvia il dispositivo Android in "Modalità provvisoria":

La "Modalità provvisoria" del sistema operativo Android disattiva temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'utilizzo di questa modalità è un ottimo modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").

Premi il pulsante "Accensione" e tienilo premuto finché non compare la schermata "Spegni". Tocca l'icona "Spegni" e tienila premuta. Dopo pochi secondi apparirà l'opzione "Modalità provvisoria" e potrai avviarla riavviando il dispositivo.

[Torna al Sommario]

Controlla il consumo della batteria delle varie applicazioni:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Manutenzione dispositivo" e toccala.

Tocca "Batteria" e controlla il consumo di ciascuna applicazione. Le applicazioni legittime/autentiche sono progettate per consumare il meno possibile, al fine di garantire la migliore esperienza utente e risparmiare energia. Pertanto, un consumo elevato della batteria potrebbe indicare che l'applicazione è dannosa.

[Torna al Sommario]

Controlla il consumo di dati delle varie applicazioni:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Connessioni" e toccala.

Scorri verso il basso fino a visualizzare "Utilizzo dati" e seleziona questa opzione. Come per la batteria, le applicazioni legittime/autentiche sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un consumo eccessivo di dati potrebbe indicare la presenza di un'applicazione dannosa. Tieni presente che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso a una rete wireless. Per questo motivo, è consigliabile controllare sia l'utilizzo dei dati mobili che quello Wi-Fi.

Se trovi un'applicazione che consuma molti dati anche se non la usi mai, ti consigliamo vivamente di disinstallarla il prima possibile.

[Torna al Sommario]

Installa gli ultimi aggiornamenti software:

Mantenere aggiornato il software è una buona pratica per garantire la sicurezza del dispositivo. I produttori rilasciano costantemente varie patch di sicurezza e aggiornamenti Android per correggere errori e bug che potrebbero essere sfruttati dai criminali informatici. Un sistema non aggiornato è molto più vulnerabile, motivo per cui dovresti sempre assicurarti che il software del tuo dispositivo sia aggiornato.

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Aggiornamento software" e toccalo.

Tocca "Scarica gli aggiornamenti manualmente" e verifica se sono disponibili aggiornamenti. Se sì, installali immediatamente. Ti consigliamo inoltre di attivare l'opzione "Scarica gli aggiornamenti automaticamente": in questo modo il sistema ti avviserà non appena verrà rilasciato un aggiornamento e/o lo installerà automaticamente.

[Torna al Sommario]

Ripristina le impostazioni predefinite del sistema:

Eseguire un "Ripristino delle impostazioni di fabbrica" è un ottimo modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni di sistema predefinite e ripulire il dispositivo in generale. Tuttavia, è importante tenere presente che tutti i dati presenti nel dispositivo verranno cancellati, incluse foto, file video/audio, numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), messaggi SMS e così via. In altre parole, il dispositivo verrà riportato al suo stato iniziale.

È inoltre possibile ripristinare le impostazioni di sistema di base e/o semplicemente le impostazioni di rete.

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Informazioni sul telefono" e toccala.

Scorri verso il basso fino a visualizzare "Ripristina" e toccalo. Ora scegli l'azione che desideri eseguire:
"Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema ed elimina completamente tutti i dati memorizzati;

[Torna al Sommario]

Disattiva le applicazioni che dispongono di privilegi di amministratore:

Se un'applicazione dannosa ottiene privilegi di amministratore, può causare gravi danni al sistema. Per garantire la massima sicurezza del dispositivo, è consigliabile verificare sempre quali app dispongono di tali privilegi e disattivare quelle che non dovrebbero averli.

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Schermata di blocco e sicurezza" e toccala.

Scorri verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccala e poi tocca "App amministratore del dispositivo".

Individua le app che non dovrebbero disporre dei privilegi di amministratore, toccale e poi tocca "DISATTIVA".

Domande frequenti (FAQ)

Il mio dispositivo è stato infettato dal malware BeatBanker: devo formattare la memoria per eliminarlo?

Questa operazione rimuoverà BeatBanker, ma cancellerà anche tutti i dati presenti sul dispositivo; pertanto, dovrebbe essere utilizzata solo come ultima risorsa. Prima di procedere, si consiglia di eseguire una scansione completa con un software di sicurezza affidabile, come Combo Cleaner.

Quali sono i problemi più gravi che il malware può causare?

Il malware può rallentare un dispositivo, causare arresti anomali del sistema, cancellare o crittografare file e installare ulteriori programmi dannosi. Può inoltre sottrarre informazioni personali, consentire agli hacker di accedere in remoto al sistema e compiere altre azioni dannose.

Qual è lo scopo di BeatBanker?

Lo scopo di BeatBanker è quello di rubare criptovalute, minare criptovalute utilizzando il dispositivo della vittima e consentire agli autori dell'attacco di assumere il controllo remoto del dispositivo infettato.

Come ha fatto BeatBanker a infiltrarsi nel mio dispositivo?

BeatBanker si insinua solitamente in un dispositivo quando un utente scarica e installa un'applicazione contraffatta da un sito web non ufficiale del Google Play Store. Queste app spesso si presentano come servizi legittimi e utilizzano falsi aggiornamenti per indurre l'utente a concedere le autorizzazioni. Una volta installato, il malware viene eseguito in background e scarica ulteriori componenti dannosi.

Combo Cleaner mi proteggerà dal malware?

Sì, Combo Cleaner è in grado di rilevare e rimuovere molti tipi noti di malware. Tuttavia, alcune minacce più sofisticate possono nascondersi in profondità nel sistema, pertanto si consiglia di eseguire una scansione completa del sistema.