El equipo Global Research and Analysis Team (GReAT) de Kaspersky ha descubierto una nueva campaña de malware para Android en la que los ciberdelincuentes distribuyen el troyano BeatBanker haciéndolo pasar por una aplicación de Starlink. Aunque los atacantes están dirigiendo principalmente la campaña a usuarios en Brasil, los expertos no descartan que también pueda afectar a víctimas en otros países. Una vez instalado, el malware puede utilizar el dispositivo para minar criptomonedas y, además, instalar herramientas que permiten a los atacantes controlar el teléfono de forma remota.

Los analistas de Kaspersky han observado inicialmente que BeatBanker se distribuía camuflado como una aplicación de servicios públicos y que incluía un troyano bancario junto con un minero de criptomonedas. Sin embargo, en esta nueva campaña se ha identificado una variante del malware que sustituye el módulo bancario por BTMOB, una herramienta de administración remota (RAT) que permite a los ciberdelincuentes tomar el control completo del dispositivo infectado.

“Al principio observamos BeatBanker distribuido bajo la apariencia de una aplicación de servicios públicos, que instalaba un troyano bancario junto con un minero de criptomonedas. Sin embargo, nuestras últimas investigaciones han identificado una nueva campaña que utiliza otra variante de BeatBanker, que despliega el RAT BTMOB en lugar del módulo bancario. Los atacantes parecen estar utilizando ahora el señuelo de una aplicación de Starlink para llegar a más víctimas en distintos países. Por ello, es fundamental que los usuarios se mantengan alerta y utilicen soluciones de seguridad avanzadas para proteger sus smartphones”, explica Fabio Assolini, responsable de las unidades de América y Europa en Kaspersky GReAT.

Cómo se distribuye el malware

Los expertos creen que los ciberdelincuentes distribuyen una aplicación falsa de Starlink a través de páginas de phishing que imitan el aspecto de Google Play. Una vez que la víctima instala la aplicación, el malware muestra una interfaz que también simula la tienda oficial de aplicaciones y solicita permisos de instalación adicionales.

Si el usuario concede estos permisos, el malware puede descargar y ejecutar otros componentes maliciosos sin que la víctima lo perciba.

Minería de criptomonedas y control remoto del dispositivo

Cuando la víctima pulsa el botón de actualización dentro de la interfaz falsa, el malware despliega un minero de criptomonedas Monero que utiliza los recursos del dispositivo infectado. BeatBanker supervisa factores como la temperatura del teléfono, el nivel de batería o la actividad del usuario para activar o detener el proceso de minería sin levantar sospechas.

Además, el malware instala el RAT BTMOB, una herramienta que se comercializa como Malware-as-a-Service y que permite a los ciberdelincuentes controlar el dispositivo de forma remota. Entre sus funcionalidades se incluyen la concesión automática de permisos, el ocultamiento de notificaciones del sistema y la captura de credenciales de desbloqueo del dispositivo, como PIN, patrones o contraseñas.

El malware también puede acceder a las cámaras del teléfono, monitorizar la ubicación GPS y recopilar información sensible de forma continua.

Para evitar ser eliminado, BeatBanker utiliza un mecanismo poco habitual que consiste en mantener una notificación fija activa y reproducir en segundo plano un archivo de audio prácticamente inaudible, lo que impide que el sistema operativo cierre el proceso malicioso.

Las soluciones de seguridad de Kaspersky detectan esta amenaza como HEUR:Trojan-Dropper.AndroidOS.BeatBanker y HEUR:Trojan-Dropper.AndroidOS.Banker.*.

Cómo protegerse frente a amenazas móviles
· Descargar aplicaciones únicamente desde tiendas oficiales como Apple App Store o Google Play, aunque incluso en estos entornos conviene mantenerse alerta.
· Revisar las valoraciones de las aplicaciones, utilizar únicamente enlaces de sitios oficiales e instalar soluciones de seguridad fiables como Kaspersky Premium, capaces de detectar y bloquear actividades maliciosas.
· Analizar cuidadosamente los permisos solicitados por las apps, especialmente aquellos de alto riesgo como los servicios de accesibilidad.
· Mantener actualizado el sistema operativo y las aplicaciones, ya que muchas vulnerabilidades se corrigen mediante las actualizaciones de software.