Gli hacker tornano all'attacco con tre nuovi trojan bancari per Android

In Sintesi

• Gli esperti di sicurezza hanno identificato nuovi malware per Android, si tratta di FvncBot, SeedSnatcher e una variante aggiornata dello spyware ClayRat.
• Si tratta di trojan bancari molto sofisticati che possono eludere le misure di sicurezza del sistema operativo di Google e sottrarre dati e denaro agli utenti.

Gli esperti di sicurezza informatica hanno acceso i riflettori su due nuove famiglie di malware per Android, battezzate FvncBot e SeedSnatcher, mentre una variante aggiornata del noto ClayRat è stata individuata nuovamente in circolazione.

Le analisi arrivano da Intel 471, CYFIRMA e Zimperium e delineano uno scenario di minacce sempre più sofisticate e difficili da intercettare che possono rappresentare un serio pericolo per gli utenti, i loro dispositivi e, naturalmente, i loro dati personali.

FvncBot, che sappiamo del pericoloso trojan bancario

FvncBot si presenta come un’app di sicurezza marchiata mBank e mira esplicitamente agli utenti di mobile bankink. A differenza di molti trojan bancari, non deriva da codici esistenti e gli analisti sottolineano come sia stato sviluppato completamente da zero, senza ispirarsi a famiglie note come ERMAC, il cui codice sorgente è stato reso pubblico in passato.

Secondo Intel 471, il malware integra funzionalità avanzate come keylogging tramite abuso dei servizi di accessibilità di Android, attacchi web-inject, screen streaming e hidden remote access (HVNC), permettendo operazioni fraudolente con un controllo profondo sul dispositivo compromesso. È inoltre protetto dal servizio di crittografia apk0day, fornito da Golden Crypt, e distribuito tramite una falsa app che agisce da loader.

Una volta avviata, l’app dropper induce l’utente a installare un componente apparentemente legato alla sicurezza di Google Play. In realtà, il trojan sfrutta un meccanismo basato sulla sessione per aggirare le restrizioni sulle autorizzazioni di accessibilità introdotte con Android 13 e versioni successive. Durante il funzionamento, il malware invia dati di log a un server remoto.

Il vettore d’attacco non è ancora chiaro, ma è probabile che gli operatori ricorrano a campagne di phishing via SMS o app store non ufficiali, modalità già ampiamente documentate nel panorama dei trojan bancari Android. Al momento, questo tool malevolo è stato rilevato solo in Polonia ma, trattandosi di un trojan molto sofisticato, è lecito ipotizzare che possa diffondersi globalmente.

SeedSnatcher, il nuovo malware di Telegram

Parallelamente, CYFIRMA ha analizzato SeedSnatcher, un malware distribuito tramite Telegram sotto il nome di Coin e progettato per sottrarre seed phrase di wallet di criptovalute. L’operatività non si limita alle crypto e il trojan è in grado di intercettare SMS per rubare codici di autenticazione a due fattori, oltre a estrarre dati dal dispositivo, dai contatti ai registri delle chiamate.

Gli investigatori ritengono che gli operatori possano essere basati in Cina o comunque di lingua cinese, vista la presenza di guide e istruzioni tecniche in mandarino diffuse nei canali di distribuzione. SeedSnatcher utilizza un set di tecniche di elusione avanzate, come il caricamento dinamico delle classi e l’iniezione invisibile di contenuti tramite WebView, aumentando progressivamente i privilegi dopo aver ottenuto autorizzazioni minimali come l’accesso agli SMS.

ClayRat, come funziona la variante aggiornata

Zimperium ha infine individuato una nuova versione di ClayRat, uno spyware già noto, ora arricchito con capacità più invasive. L’aggiornamento amplifica l’abuso dei servizi di accessibilità e sfrutta le autorizzazioni SMS predefinite per ottenere un accesso quasi completo al dispositivo.

La variante aggiornata consente di registrare sequenze di tasti e schermo, generare sovrapposizioni che imitano schermate di sistema e creare notifiche fasulle per indurre l’utente a consegnare informazioni sensibili. Il malware è stato diffuso tramite 25 domini di phishing che imitano servizi legittimi come YouTube, promuovendo una falsa versione “Pro” con riproduzione in background e supporto HDR 4K.

Secondo i ricercatori di Zimperium, l’insieme delle nuove funzionalità rende questa versione di ClayRat più pericolosa rispetto alle precedenti, con la vittima che ha molte meno possibilità di accorgersi dell’infezione o di disinstallare l’app compromessa.