I malware Android stanno diventando sempre più sofisticati e recenti ricerche nel campo della cybersecurity hanno portato alla luce due nuove famiglie di malware, FvncBot e SeedSnatcher, oltre a una versione potenziata del già noto ClayRat. Queste minacce rappresentano un rischio crescente per gli utenti di dispositivi mobili, soprattutto per coloro che utilizzano servizi bancari e portafogli di criptovalute.
FvncBot
FvncBot si maschera da app di sicurezza ufficiale di una banca polacca, ma in realtà è stato progettato da zero con funzionalità avanzate. Tra queste spiccano il keylogging tramite abuso dei servizi di accessibilità Android, attacchi di tipo web-inject, streaming dello schermo e controllo remoto tramite HVNC. Il malware viene distribuito tramite un dropper che invita l’utente a installare un falso componente Google Play, sfruttando tecniche per aggirare le restrizioni dei più recenti sistemi operativi Android. Una volta attivo, FvncBot richiede permessi di accessibilità per ottenere privilegi elevati, permettendo di registrare il dispositivo su server remoti e ricevere comandi attraverso Firebase Cloud Messaging. Le sue capacità includono il furto di dati sensibili, la raccolta di informazioni sulle app installate e la possibilità di sovrapporre schermate fasulle alle app bancarie.
SeedSnatcher
SeedSnatcher, invece, è distribuito tramite Telegram con il nome Coin e si concentra sul furto delle frasi seed dei portafogli di criptovalute. Questo malware può intercettare SMS per sottrarre codici di autenticazione a due fattori, oltre a rubare dati, contatti, registri chiamate e file tramite overlay di phishing. SeedSnatcher utilizza tecniche sofisticate per evadere il rilevamento, come il caricamento dinamico delle classi e il controllo tramite comandi offuscati. Inizialmente richiede pochi permessi, ma successivamente li estende per aumentare la sua efficacia.
Aggiornamento di ClayRat
Parallelamente, il malware ClayRat ha visto un aggiornamento significativo che gli permette di abusare ulteriormente dei servizi di accessibilità e delle autorizzazioni SMS. Ora è in grado di registrare tasti e schermo, mostrare notifiche interattive false e sovrapporre schermate di aggiornamento di sistema per mascherare le sue attività. ClayRat viene distribuito attraverso numerosi domini di phishing che imitano servizi legittimi, rendendo più difficile per le vittime riconoscere l’inganno. La nuova versione di ClayRat offre un controllo completo del dispositivo, rendendo difficile la rimozione anche per utenti esperti.
Queste evoluzioni mostrano come le minacce mobile siano in continua crescita e quanto sia fondamentale aggiornare costantemente le proprie difese e prestare attenzione alle app scaricate, soprattutto fuori dagli store ufficiali.
