Allerta Malware Android: Emergenza FvncBot, SeedSnatcher e Ritorno di ClayRat

Gli esperti di sicurezza informatica lanciano l'allarme su una nuova ondata di minacce che bersagliano gli utenti Android. I riflettori sono puntati su due inedite famiglie di malware: FvncBot e SeedSnatcher, mentre lo spyware ClayRat è tornato in circolazione in una versione potenziata e più insidiosa.

Le indagini condotte da Intel 471, CYFIRMA e Zimperium dipingono un quadro di pericoli sempre più sofisticati, progettati per bypassare le difese e mettere a rischio dispositivi, informazioni personali e, in particolare, i dati finanziari degli utenti.

FvncBot: Il Troian Bancario Nato da Zero

FvncBot si distingue per la sua originalità: non è una derivazione di codice noto, ma un trojan bancario sviluppato interamente from scratch. Si maschera da applicazione di sicurezza di una nota banca (mBank) e mira specificamente agli utenti di mobile banking.

Questo malware, come evidenziato da Intel 471, è estremamente avanzato. Sfrutta l'abuso dei servizi di accessibilità di Android per effettuare keylogging (registrazione dei tasti), eseguire attacchi web-inject, e persino abilitare lo screen streaming e l'accesso remoto nascosto (HVNC). Queste funzionalità consentono ai criminali un controllo pressoché totale sul telefono compromesso per condurre operazioni fraudolente. Per garantirne l'efficacia, è protetto dal servizio di cifratura apk0day di Golden Crypt e distribuito inizialmente tramite una falsa app "loader".

Sebbene finora sia stato rilevato solo in Polonia, la sua elevata complessità fa temere una rapida diffusione a livello globale, presumibilmente attraverso campagne di phishing via SMS o tramite store non ufficiali. È degno di nota il suo sofisticato meccanismo basato su sessioni per aggirare le restrizioni di autorizzazione introdotte con Android 13 e versioni successive.

SeedSnatcher: Il Ruba-Crypto da Telegram

Parallelamente, CYFIRMA ha analizzato SeedSnatcher, un pericoloso malware distribuito sulla piattaforma Telegram sotto il nome di "Coin". La sua funzione primaria è intercettare e sottrarre le seed phrase (frasi di recupero) dei wallet di criptovalute.

Ma le sue capacità non finiscono qui: SeedSnatcher è in grado di rubare codici di autenticazione a due fattori intercettando gli SMS e di estrarre una vasta gamma di dati dal dispositivo, inclusi contatti e registri delle chiamate. Gli investigatori ipotizzano un'origine o un legame con gruppi di lingua cinese, data la presenza di istruzioni tecniche in mandarino nei canali di distribuzione. Per eludere il rilevamento, utilizza tecniche avanzate come il caricamento dinamico delle classi e l'iniezione invisibile di contenuti, scalando i privilegi in modo graduale.

ClayRat: Lo Spyware Ricaricato

Infine, Zimperium ha scoperto una nuova incarnazione di ClayRat, un noto spyware ora equipaggiato con strumenti di spionaggio più invasivi. Questa versione aggiornata intensifica l'abuso dei servizi di accessibilità e sfrutta le autorizzazioni SMS per ottenere un controllo quasi illimitato del dispositivo infetto.

Le nuove funzionalità permettono a ClayRat di registrare sequenze di tasti e catturare lo schermo, generare schermate di sistema false (overlay) e creare notifiche ingannevoli per estorcere dati sensibili. Viene diffuso tramite domini di phishing che si spacciano per servizi legittimi come YouTube, promuovendo una falsa versione "Pro" dell'app.

Secondo i ricercatori, il mix di queste nuove tattiche rende questa variante di ClayRat significativamente più pericolosa, riducendo drasticamente le possibilità per la vittima di accorgersi dell'infezione o di disinstallare l'applicazione compromessa.