Nel panorama della sicurezza informatica, la minaccia dei malware Android continua a crescere, come dimostrato dalla recente individuazione dei trojan BankBot-YNRK e DeliveryRAT. Questi malware sono pensati per compromettere dispositivi mobili e sottrarre dati finanziari sensibili, sfruttando tecniche avanzate di evasione e persistente accesso ai device infetti.

BankBot-YNRK

BankBot-YNRK si distingue per la sua capacità di eludere le analisi degli esperti, verificando se l’ambiente in cui opera è reale oppure virtualizzato, identificando dettagli del dispositivo come produttore e modello. Il trojan agisce in modo selettivo, colpendo solo dispositivi specifici, come quelli di Google e Samsung, e modelli riconosciuti, evitando così di attivarsi su device non previsti. Inoltre, è distribuito tramite app che imitano applicazioni ufficiali, come “Identitas Kependudukan Digital”, inducendo l’utente a scaricarlo con l’inganno.

Dopo l’installazione, BankBot-YNRK raccoglie informazioni sul dispositivo e azzera il volume delle notifiche per evitare che la vittima si accorga delle attività malevole. Il trojan comunica con server remoti e sfrutta i servizi di accessibilità per ottenere privilegi elevati, eseguendo azioni come la raccolta di contatti, SMS, localizzazione, elenco delle app installate e contenuti della clipboard. Tra le sue funzioni spiccano la sostituzione di nomi e icone delle app con quelle di Google News, la cattura dello schermo per ricostruire l’interfaccia di applicazioni bancarie, e l’automazione di operazioni fraudolente su wallet di criptovalute. BankBot-YNRK punta soprattutto alle versioni Android 13 e precedenti, poiché Android 14 ha introdotto nuove restrizioni sulle richieste di permessi tramite servizi di accessibilità.

DeliveryRAT

Parallelamente, DeliveryRAT prende di mira utenti Android in Russia, mascherandosi da app di servizi di consegna, marketplace o banking. Questo malware viene diffuso tramite campagne di phishing e social engineering anche su Telegram, dove le vittime ricevono link per scaricare app infette. DeliveryRAT richiede accesso alle notifiche e all’ottimizzazione della batteria per operare in background e raccogliere dati. Alcune varianti sono inoltre in grado di lanciare attacchi DDoS, nascondere la propria icona e accedere a SMS e registro chiamate, rendendo difficile la rimozione da parte degli utenti meno esperti.

Entrambe le famiglie di malware rappresentano una minaccia per la sicurezza dei dati finanziari e personali, sfruttando la fiducia degli utenti e le funzionalità avanzate del sistema Android, e sottolineano l’importanza di mantenere dispositivi aggiornati, evitare installazioni da fonti non ufficiali e prestare attenzione alle richieste di permessi sospetti.