Negli ultimi mesi sono state individuate sei nuove famiglie di malware Android progettate per rubare dati dai dispositivi compromessi e facilitare frodi finanziarie. La minaccia riguarda sia trojan bancari tradizionali sia strumenti RAT in grado di offrire controllo remoto completo, con un impatto diretto su app bancarie, pagamenti istantanei e wallet crypto.

PixRevolution: attacchi mirati al sistema Pix

Uno dei casi più rilevanti è PixRevolution, malware orientato al sistema Pix, la piattaforma di pagamenti istantanei molto diffusa in Brasile. Il suo punto di forza è la capacità di intervenire nel momento esatto in cui l’utente avvia un bonifico Pix.

Dopo l’installazione tramite finti siti che imitano pagine del Google Play Store e promuovono app note, il dropper spinge la vittima ad abilitare i servizi di accessibilità, un permesso spesso abusato dai malware Android per leggere lo schermo e interagire con le app.

PixRevolution comunica con un server esterno e può attivare la cattura dello schermo in tempo reale usando MediaProjection, preparando il terreno per la manipolazione della transazione. Quando l’utente inserisce importo e chiave Pix del destinatario, il trojan mostra un overlay credibile con un messaggio di attesa e nel frattempo sostituisce la chiave Pix con quella controllata dagli attaccanti. La conferma finale appare normale e la vittima scopre l’errore solo in seguito, ma i trasferimenti Pix sono immediati e difficili da recuperare.

BeatBanker: persistenza, mining e frodi su crypto wallet

Un’altra campagna prende di mira utenti brasiliani con BeatBanker, distribuito tramite phishing e siti camuffati da store ufficiali. Oltre a controlli anti-analisi, include un meccanismo di persistenza insolito basato sulla riproduzione continua di un audio quasi impercettibile per evitare la chiusura del processo.

BeatBanker integra anche un miner di criptovaluta e un modulo bancario capace di creare overlay per servizi come Binance e Trust Wallet, sostituendo in modo furtivo gli indirizzi di destinazione durante transazioni USDT. Il comando e controllo può passare da Firebase Cloud Messaging, rendendo la gestione del malware più agile.

TaxiSpy RAT e nuove offerte MaaS

Tra le minacce con capacità avanzate spicca TaxiSpy RAT, che combina furto credenziali e funzioni di sorveglianza raccogliendo SMS, contatti, registro chiamate, clipboard, notifiche e persino dati di sblocco, usando accessibilità e overlay contro app bancarie e crypto.

Sul fronte MaaS emergono Mirax e Oblivion, venduti come servizi con prezzi mensili, mentre SURXRAT mostra un’evoluzione con moduli aggiuntivi e sperimentazioni legate a componenti AI scaricate in condizioni specifiche, oltre a varianti con screen locker in stile ransomware.