Prima di procedere
La società di sicurezza informatica Kaspersky Lab ha recentemente lanciato l'allarme riguardo una sofisticata campagna di hacking che sfrutta l'immagine di Starlink, il servizio di internet satellitare di Elon Musk, per infettare dispositivi Android. I cybercriminali stanno diffondendo un'applicazione contraffatta attraverso finte pagine del Google Play Store, ingannando gli utenti e inducendoli a installare un malware che, una volta attivo, utilizza lo smartphone per minare la criptovaluta Monero e, contemporaneamente, permette agli hacker di assumere il controllo remoto del dispositivo.
L'attacco è particolarmente insidioso perché si rivolge principalmente agli utenti in Brasile, un mercato in rapida espansione per Starlink, con oltre 1 milione di abbonati. Secondo i dati più recenti, il Brasile rappresenta il secondo più grande bacino di utenza per il servizio Starlink a livello globale, rendendolo un bersaglio ideale per questo tipo di truffe.
Il meccanismo di infezione è studiato nei minimi dettagli. Inizialmente, i malintenzionati diffondono il malware camuffandolo come un'applicazione legata al sistema di welfare brasiliano. Successivamente, la stessa tecnica è stata riadattata per sfruttare la popolarità di Starlink. Dopo l'installazione, l'app fasulla simula la necessità di scaricare un aggiornamento. In realtà, questa è una scusa per indurre l'utente a concedere all'applicazione i permessi necessari per sferrare l'attacco completo.
Una volta ottenuti i permessi, il malware procede con il download di un software per il mining di Monero, una criptovaluta che garantisce un elevato livello di anonimato. Parallelamente, viene installato un trojan che consente agli hacker di monitorare e controllare da remoto le funzioni del dispositivo, inclusa la possibilità di attivare le telecamere, intercettare dati sensibili come PIN, sequenze di sblocco e password.
Un portavoce di Kaspersky Lab ha spiegato che il processo di diffusione del malware imita l'aggiornamento di un'applicazione legittima. Il malware sfrutta il permesso REQUEST_INSTALL_PACKAGES per installare file APK, bypassando così i controlli di sicurezza del Google Play Store. Una caratteristica distintiva di questo malware è la riproduzione continua di un file audio quasi impercettibile, progettato per rendere difficile la sua rimozione. Per questa ragione, è stato soprannominato BeatBanker.
Per proteggersi da minacce simili, gli esperti di sicurezza raccomandano di seguire alcune semplici regole di igiene digitale: scaricare applicazioni solo da store ufficiali come il Google Play Store, evitare di installare app provenienti da sviluppatori sconosciuti e prestare sempre attenzione ai permessi richiesti dalle applicazioni. Inoltre, è fondamentale mantenere aggiornato il sistema operativo e le applicazioni installate, e utilizzare un software antivirus affidabile.
In un contesto in cui la digitalizzazione è sempre più pervasiva, la consapevolezza e la prudenza rappresentano le armi migliori per difendersi dalle minacce informatiche. La vicenda del falso Starlink è un monito importante sull'importanza di verificare sempre l'autenticità delle applicazioni che installiamo sui nostri dispositivi, e di non sottovalutare i rischi legati alla concessione di permessi non necessari.
