Tre nuovi trojan Android che mirano a dati, conti e perfino alle seed crypto

La scoperta di tre nuovi trojan bancari per Android mantiene alta l'attenzione sul fronte sicurezza, che non sembra conoscere mai un vero periodo di fiacca.

Si tratta di minacce pericolose e capaci di colpire con precisione dati personali e credenziali, soprattutto per il modo in cui sfruttano componenti interni del sistema operativo per ottenere un controllo profondo sul dispositivo.

FvncBot arriva sotto forma di una falsa app di sicurezza legata al marchio mBank e indirizza in modo diretto gli utenti del mobile banking. Gli analisti segnalano che non deriva da codici già noti e che gli sviluppatori hanno realizzato l'intera infrastruttura da zero, senza ereditare componenti usati in famiglie come ERMAC.

Il trojan incorpora funzioni che includono keylogging tramite i servizi di accessibilità, attacchi web inject, streaming dello schermo e un sistema di controllo remoto nascosto chiamato HVNC. Il file è inoltre protetto dal servizio di cifratura apk0day e viene distribuito attraverso un'app che funge da loader.

Una volta avviata, l'app spinge a installare un modulo che appare come un elemento di sicurezza di Google Play. In realtà, sfrutta una gestione della sessione pensata per aggirare le limitazioni sulle autorizzazioni introdotte da Android 13. Durante l'esecuzione invia dati di log verso un server remoto.

Gli esperti non hanno ancora identificato il vettore d'attacco, ma ritengono plausibili campagne di phishing via SMS o l'uso di store non ufficiali (come sempre). Le rilevazioni attuali riguardano soprattutto la Polonia, anche se la struttura complessiva del malware non esclude una circolazione più ampia.

SeedSnatcher viene distribuito attraverso Telegram con il nome Coin e punta a intercettare le seed phrase dei portafogli di criptovalute. L'attività non si limita al settore crypto, perché gli operatori hanno inserito anche la capacità di leggere gli SMS per prelevare codici di autenticazione a due fattori e di estrarre dati come contatti e registri delle chiamate.

Gli indizi raccolti dagli analisti rimandano a operatori di lingua cinese, dato che i canali di distribuzione includono istruzioni scritte in mandarino. Il malware utilizza il caricamento dinamico delle classi e l'iniezione nascosta di contenuti tramite WebView per ampliare le proprie possibilità operative, aumentando i privilegi dopo aver ottenuto permessi minimi come l'accesso agli SMS.

La nuova versione di ClayRat, individuata da Zimperium, riprende uno spyware già noto e lo arricchisce con funzioni che sfruttano intensivamente i servizi di accessibilità e le autorizzazioni predefinite per gli SMS. La combinazione permette un controllo molto profondo sul dispositivo infetto.

La variante registra sequenze di tasti e schermate, crea sovrapposizioni che imitano interfacce di sistema e genera notifiche ingannevoli utili a sottrarre informazioni sensibili. La distribuzione è avvenuta tramite 25 domini di phishing che imitano servizi reali come YouTube, offrendo una falsa versione Pro con riproduzione in background e supporto HDR 4K.

Secondo i ricercatori, l'insieme delle funzioni aggiunte riduce in modo significativo le possibilità di riconoscere l'infezione o di rimuovere l'app compromessa. Una minaccia che conferma come il controllo del dispositivo resti un terreno tecnico in continua evoluzione, specialmente quando gli attori malevoli si concentrano su ciò che accade all'interno di componenti progettati per garantire accessibilità e comodità.

Nel quadro delineato dagli ultimi rapporti emerge un elemento ricorrente: l'uso mirato delle funzioni previste dal sistema per completare attività che nulla hanno a che fare con l'accessibilità o la sicurezza. Un aspetto che rende ancora più rilevante valutare come i servizi di base possano trasformarsi, se sfruttati in modo improprio, in strumenti decisivi per sottrarre informazioni personali.

L'articolo Tre nuovi trojan Android che mirano a dati, conti e perfino alle seed crypto sembra essere il primo su Smartworld.