I telefoni Android sono diventati il centro della nostra vita digitale: servizi bancari, criptovalute, lavoro, social media... e, purtroppo, anche il bersaglio preferito dei criminali informaticiMentre molti utenti pensano ancora che con installare “un antivirus” Ormai è tutto fatto, la realtà è che il malware per Android ha compiuto un enorme balzo in avanti in termini di sofisticazione e ora compete testa a testa con le tradizionali minacce per PC.
Negli ultimi mesi, diversi laboratori di sicurezza si sono concentrati su tre famiglie molto specifiche: FvncBot, SeedSnatcher e la versione migliorata di ClayRatNon si tratta di semplici trojan che visualizzano solo fastidiose pubblicità: stiamo parlando di malware in grado di controllare da remoto il tuo cellulare, rubare credenziali bancarie, svuotare i portafogli di criptovalute, registrare le battute sui tasti o addirittura sbloccare automaticamente il dispositivo, il tutto sfruttando i servizi di accessibilità e le sovrapposizioni dello schermo molto difficili da rilevare a occhio nudo.
Gli esperti di sicurezza informatica osservano da tempo un evoluzione accelerata del malware Android, con campagne che mirano a infettare non solo gli utenti domestici, ma anche i dipendenti delle aziende e i profili con accesso a informazioni sensibili o fondi economici rilevanti.
Dietro queste minacce troviamo entrambi i gruppi con motivazione puramente finanziaria come attori avanzati (APT) con possibili collegamenti con lo Stato, soprattutto nel caso di spyware come ClayRat, orientati allo spionaggio a lungo raggio, al furto di dati e al tracciamento di vittime specifiche.
I metodi per compromettere i dispositivi Android si basano in gran parte su ingegneria sociale e nella distribuzione di app dannose al di fuori di Google PlayTuttavia, vengono sfruttati anche negozi di terze parti, domini di phishing che imitano servizi popolari e canali di messaggistica come Telegram, dove vengono condivisi link ad APK manipolati.
Questi nuovi trojan sfruttano le funzionalità legittime del sistema, in particolare servizi di accessibilità, sovrapposizioni dello schermo e API MediaProjection (utilizzati per registrare o condividere lo schermo), trasformandoli in strumenti di spionaggio e frode finanziaria estremamente efficace.
In questo contesto emergono con forza tre nomi che vengono già frequentemente citati nei rapporti tecnici: FvncBot, SeedSnatcher e ClayRatOgnuno di loro agisce con le proprie tattiche, ma tutti condividono lo stesso obiettivo: rubare quante più informazioni possibili e mantenere il controllo del dispositivo senza destare sospetti.
Un panorama delle minacce mobili sempre più aggressivo
Gli esperti di sicurezza informatica osservano da tempo un evoluzione accelerata del malware Android, con campagne che mirano a infettare non solo gli utenti domestici, ma anche i dipendenti delle aziende e i profili con accesso a informazioni sensibili o fondi economici rilevanti.
Dietro queste minacce troviamo entrambi i gruppi con motivazione puramente finanziaria come attori avanzati (APT) con possibili collegamenti con lo Stato, soprattutto nel caso di spyware come ClayRat, orientati allo spionaggio a lungo raggio, al furto di dati e al tracciamento di vittime specifiche.
I metodi per compromettere i dispositivi Android si basano in gran parte su ingegneria sociale e nella distribuzione di app dannose Al di fuori di Google Play, vengono sfruttati anche gli store di terze parti, i domini di phishing che imitano servizi popolari e i canali di messaggistica come Telegram, dove vengono condivisi link ad APK manipolati.
Questi nuovi trojan sfruttano le funzionalità legittime del sistema, in particolare servizi di accessibilità, sovrapposizioni dello schermo e API MediaProjection (utilizzati per registrare o condividere lo schermo), trasformandoli in strumenti estremamente efficaci per lo spionaggio e le frodi finanziarie.
In questo contesto emergono con forza tre nomi che vengono già frequentemente citati nei rapporti tecnici: FvncBot, SeedSnatcher e ClayRatOgnuno di loro agisce con le proprie tattiche, ma tutti condividono lo stesso obiettivo: rubare quante più informazioni possibili e mantenere il controllo del dispositivo senza destare sospetti.
FvncBot: trojan bancario con controllo remoto di tipo VNC
Il loro trucco principale è fingere di essere un applicazione di sicurezza associata a mBankUn noto istituto finanziario polacco. L'utente crede di installare un'app legittima che aumenta la sicurezza del suo mobile banking, quando in realtà sta installando un trojan in grado di registrare tutto ciò che fa e di assumere il controllo remoto del suo dispositivo mobile.
Il processo di infezione inizia tramite un'app "dropper" che funge da caricatore. Questa app è protetta da un servizio di offuscamento e crittografia noto come apk0day, offerto da Golden CryptCiò rende difficile analizzare il codice e identificarlo tramite soluzioni di sicurezza. All'apertura, l'applicazione visualizza un messaggio che invita l'utente a installare un presunto "componente di Google Play" per migliorare la stabilità o la protezione del sistema.
In realtà, quel componente è esso stesso payload dannoso da FvncBotQuesto malware sfrutta un approccio basato sulla sessione per aggirare le restrizioni di accessibilità introdotte con Android 13. Pertanto, anche sulle versioni recenti del sistema operativo, il malware riesce ad attivare le autorizzazioni necessarie per visualizzare e controllare praticamente tutto sul dispositivo.
Una volta in esecuzione, FvncBot chiede all'utente di concedere autorizzazioni per i servizi di accessibilitàSe la vittima acconsente, il Trojan acquisisce una sorta di "superpoteri" all'interno del sistema: può leggere ciò che viene visualizzato sullo schermo, rilevare quali applicazioni sono aperte, simulare le sequenze di tasti, visualizzare finestre sopra altre app o registrare le sequenze di tasti in formati sensibili, come le credenziali di accesso alla banca.
Durante la sua attività, il malware invia eventi e registri a un server remoto associato al dominio naleymilva.it.comQuesto veniva utilizzato dagli operatori per monitorare lo stato di ciascun dispositivo infetto. I campioni analizzati mostravano un identificatore di build "call_pl", che indica esplicitamente la Polonia come Paese target, e una versione etichettata "1.0-P", il che suggerisce che FvncBot è ancora nelle prime fasi di sviluppo e potrebbe continuare a evolversi.
Dopo la registrazione del dispositivo, FvncBot comunica con la sua infrastruttura di comando e controllo utilizzando HTTP e Firebase Cloud Messaging (FCM)Attraverso questi canali riceve istruzioni in tempo reale e può modificare il proprio comportamento in base agli ordini degli aggressori, attivando o disattivando moduli specifici a seconda del tipo di vittima o della campagna in corso.
Tra le funzioni documentate in questo Trojan, alcune si distinguono come particolarmente critiche, come la capacità di Avvia o arresta le connessioni WebSocket che consentono il controllo remoto del dispositivo: gli aggressori possono scorrere, toccare, aprire app o inserire dati quasi come se avessero il telefono in mano.
Inoltre, FvncBot esfiltra eventi di accessibilità, elenchi di app installate e informazioni sul dispositivo (modello, versione, configurazione, ecc.), in modo che gli operatori abbiano un elenco completo dei target, sappiano quali applicazioni bancarie o di criptovaluta sono presenti e possano distribuire overlay dannosi solo sulle app che realmente li interessano.
Il Troiano è pronto a mostrarsi schermate false a schermo interoImitando le interfacce bancarie o altri servizi, cattura credenziali, dati delle carte o codici monouso. Può anche nascondere queste sovrapposizioni quando non sono più necessarie, in modo che la vittima non noti quasi alcun comportamento insolito, a parte un possibile sfarfallio dello schermo che di solito attribuisce a un semplice bug visivo.
Un altro aspetto sorprendente di FvncBot è l'uso del API MediaProjection per lo streaming dello schermo in tempo realeQuesto, unito al controllo remoto tramite HVNC (Hidden Virtual Network Computing), consente agli aggressori di vedere esattamente ciò che vede la vittima e di utilizzare l'app della banca in completa libertà, anche nelle applicazioni che tentano di bloccare gli screenshot utilizzando il flag FLAG_SECURE.
Per superare questa limitazione, FvncBot incorpora una “modalità testo” che analizza il contenuto dell'interfaccia anche quando non è possibile effettuare acquisizioni tradizionaliQuindi, anche se un'app bancaria o di pagamento impedisce gli screenshot per motivi di sicurezza, il Trojan riesce a leggere gli elementi sullo schermo grazie ai servizi di accessibilità.
Al momento non vi è alcuna conferma pubblica al riguardo. vettore di distribuzione principaleTuttavia, in base al modello di altri trojan bancari simili, è molto probabile che faccia ricorso a campagne di smishing (SMS di phishing), link inviati tramite messaggistica e app store di terze parti in cui vengono caricate versioni false di app note o presunti strumenti di sicurezza.
Sebbene i campioni attuali si concentrino sugli utenti polacchi e su un'entità specifica, gli analisti stimano che È solo questione di tempo prima che FvncBot si adatti ad altri paesi e banche.Cambiare la lingua, i loghi e i modelli di sovrapposizione è relativamente semplice.
SeedSnatcher: cacciatore di frasi seed e codici 2FA
Se l'obiettivo principale di FvncBot sono i conti bancari tradizionali, SeedSnatcher sta prendendo di mira l'ecosistema delle criptovaluteQuesta famiglia di malware per Android è progettata specificamente per rubare frasi seed dei wallet, chiavi private e, in generale, qualsiasi informazione che consenta di assumere il controllo dei wallet di criptovalute.
SeedSnatcher è distribuito principalmente tramite Telegram e altri canali socialutilizzando il nome "Coin" per camuffarsi da app di investimento, strumento di gestione delle criptovalute o promozione esclusiva. Gli aggressori spesso distribuiscono link a APK presumibilmente legittimi, sfruttando gruppi pubblici o privati legati al trading, agli NFT o alle notizie sulla blockchain.
Una volta installata, l'applicazione dannosa non mostra inizialmente alcun comportamento evidente. Anzi, una delle sue caratteristiche principali è che Richiede pochi permessi d'ingresso., solitamente l'accesso agli SMS o alle funzioni di base, in modo da non destare sospetti o attivare avvisi nelle soluzioni di sicurezza che si concentrano su richieste di autorizzazione eccessive.
Tuttavia, in background, SeedSnatcher inizia a schierare il suo arsenale. Sfruttando tecniche avanzate come caricamento dinamico delle classi e iniezione furtiva di contenuti in WebViewL'app può aggiornare le funzionalità dal server di comando e controllo, essere modificata al volo o attivare moduli solo quando la vittima apre determinate applicazioni correlate alle criptovalute.
Una delle funzioni più pericolose è la capacità di mostrare sovrapposizioni di phishing molto convincenti Queste truffe imitano l'aspetto di app wallet, exchange o schermate di recupero account ben note. L'utente crede di inserire la propria seed phrase per ripristinare il wallet o verificare la propria identità, ma in realtà sta cedendo il controllo di tutti i suoi fondi all'aggressore.
Oltre alle frasi seed, SeedSnatcher intercetta messaggi SMS in arrivo per acquisire codici di autenticazione a due fattori (2FA)Ciò apre le porte al dirottamento di account su servizi di cambio o piattaforme di trading che si affidano agli SMS come secondo fattore.
Il malware non si limita al mondo delle criptovalute: è preparato anche per esfiltrare i dati dal dispositivocompresi contatti, registri delle chiamate, file memorizzati sul telefono cellulare e altre informazioni potenzialmente utili per future campagne fraudolente o per la vendita sui mercati neri.
Le indagini attribuite a CYFIRMA suggeriscono che gli operatori di SeedSnatcher potrebbero essere gruppi con sede in Cina o di lingua cinese, in base alle istruzioni in quella lingua presenti nei pannelli di controllo e nei canali di distribuzione associati al malware.
Il processo di escalation dei privilegi di SeedSnatcher segue uno schema molto calcolato: inizia con autorizzazioni minime e in seguito ne richiede di più. accesso al file manager, sovrapposizioni, contatti, registri delle chiamate e altre risorseQuesto comportamento scaglionato consente di eludere le soluzioni di sicurezza basate sull'euristica che vengono attivate da massicce richieste di autorizzazione fin dal primo avvio.
La combinazione di inganno visivo, furto di SMS, monitoraggio degli appunti ed esfiltrazione silenziosa dei dati rende SeedSnatcher un Si tratta di una minaccia critica per qualsiasi utente che gestisca criptovalute dal proprio dispositivo mobile.soprattutto se si utilizzano portafogli non custodiali basati su frasi seed.
ClayRat: spyware modulare con controllo quasi totale del dispositivo
L'iterazione più recente rilevata si distingue per l'ulteriore abuso del servizi di accessibilità e autorizzazioni SMS predefiniteGrazie a questo, ClayRat può registrare le sequenze di tasti premuti, leggere le notifiche ricevute sul dispositivo, monitorare le applicazioni sensibili e registrare sia lo schermo che l'audio, trasformando il cellulare in un vero e proprio strumento di sorveglianza.
Questo malware è progettato per visualizzare sovrapposizioni che simulano aggiornamenti di sistema, schermate nere o finestre di manutenzioneVengono utilizzati per nascondere azioni dannose mentre gli aggressori manipolano il dispositivo in background. Quando gli utenti visualizzano una schermata di "aggiornamento di sistema" o simile, tendono ad attendere senza toccare nulla, dando ai criminali informatici tutto il tempo del mondo per agire.
Un'altra caratteristica particolarmente preoccupante è la capacità di ClayRat di sbloccare automaticamente il dispositivoChe si utilizzi un PIN, una password o una sequenza, questa funzionalità, combinata con la registrazione dello schermo e dei tasti premuti, garantisce il controllo completo del dispositivo mobile senza che l'utente debba reinserire ripetutamente le proprie credenziali.
Nelle campagne recenti, ClayRat si è diffuso in almeno 25 Domini di phishing che imitano servizi legittimi come YouTubePromuove una presunta versione "Pro" con riproduzione in background e supporto 4K HDR. Gli utenti scaricano l'app credendo che sia una versione premium e installano inconsapevolmente lo spyware.
Sono stati trovati anche App dropper che si spacciano per app per taxi e parcheggi In regioni come la Russia, queste app false fungono da veicoli di installazione per ClayRat, in modo simile al modello utilizzato da FvncBot, in cui un'app apparentemente innocua scarica o attiva il componente dannoso in realtà.
Il malware può generare notifiche false e interattive che sembrano provenire dal sistema o da applicazioni legittime, al fine di raccogliere risposte dall'utente (ad esempio, codici, conferme di operazioni o autorizzazioni aggiuntive) senza che l'utente sia consapevole di interagire con un'interfaccia controllata dall'aggressore.
Rispetto alle versioni precedenti, la nuova variante di ClayRat è molto più difficile da rimuovere: i suoi meccanismi di persistenza e la sua possibilità di camuffare la tua attività tramite sovrapposizioni e blocco dello schermo Fanno sì che l'utente abbia meno possibilità di disinstallare l'applicazione o di spegnere il dispositivo in tempo.
Queste caratteristiche, unite al sospetto che possa essere collegato ai gruppi APT con possibile sponsorizzazione stataleCiò rende ClayRat uno degli strumenti spyware per dispositivi mobili più pericolosi al giorno d'oggi, soprattutto negli ambienti aziendali con politiche BYOD (Bring Your Own Device), in cui i dipendenti utilizzano i propri telefoni cellulari personali per accedere ai sistemi interni.
Tecniche comuni: accessibilità, sovrapposizioni ed evasione avanzata
Sebbene FvncBot, SeedSnatcher e ClayRat abbiano obiettivi diversi (servizi bancari tradizionali, criptovalute o spionaggio avanzato), condividono una serie di tattiche e tecniche chiave che spiegano perché stanno ottenendo così tanto successo nelle campagne reali.
Primo, l' abuso dei servizi di accessibilità Android È diventato il fulcro del malware moderno. Questa funzionalità, originariamente progettata per aiutare le persone con disabilità a interagire con il dispositivo, consente di leggere il contenuto dell'interfaccia, rilevare le modifiche dello schermo e automatizzare le azioni, il che è estremamente utile... sia per l'usabilità che per la lotta alla criminalità informatica.
Un altro elemento comune è l'uso intensivo di sovrapposizioni per impersonare applicazioni legittimeSovrapponendo una schermata falsa a un'app reale, che si tratti di una banca, di un portafoglio crittografico o di un servizio popolare, gli aggressori possono acquisire credenziali, dati personali e qualsiasi informazione inserita dall'utente, senza dover compromettere direttamente l'applicazione di destinazione.
Inoltre, questi trojan integrano tecniche avanzate di evasione per complicarne l'analisi e la rilevazione; imparare a scansiona il malware con Google Play Protect: offuscamento del codice, servizi di crittografia esterni come apk0day, caricamento dinamico di classi scaricate dal server di comando e controllo solo quando necessario e persino istruzioni di comando basate su numeri interi per rendere il traffico meno ovvio.
Anche la comunicazione con i server degli aggressori è diventata più sofisticata. L'uso di Firebase Cloud Messaging per ricevere ordiniLa creazione di connessioni WebSocket per il controllo in tempo reale e l'esfiltrazione discreta di dati tramite HTTP o HTTPS fanno sì che il traffico dannoso si mescoli a quello legittimo, rendendone difficile l'identificazione sulle reti aziendali o domestiche.
Tutto questo è combinato con un lavoro di ingegneria sociale molto raffinatoQueste app si mascherano da componenti di Google Play, applicazioni di sicurezza, strumenti bancari ufficiali, versioni "Pro" di piattaforme popolari come YouTube o servizi richiesti come taxi e parcheggi. L'obiettivo è abbassare la guardia dell'utente e convincerlo a concedere autorizzazioni critiche senza pensarci due volte.
Come proteggere il tuo dispositivo Android da FvncBot, SeedSnatcher e ClayRat
Nessuna misura è infallibile, ma l'applicazione di buone pratiche di base riduce drasticamente la probabilità di cadere in campagne come quelle di FvncBot, SeedSnatcher o ClayRatMolti attacchi si basano sulla negligenza degli utenti e su dispositivi configurati in modo non corretto.
La prima regola è ovvia ma resta la più efficace: Installare applicazioni solo da fonti attendibili, come Google Play o i siti web ufficiali dei fornitori, e rivedere gli elenchi delle app pericoloseScaricare APK da link su forum, canali Telegram o pagine che promettono versioni gratuite di app a pagamento è, al giorno d'oggi, uno dei principali punti di accesso per i malware per dispositivi mobili.
È anche essenziale Mantieni sempre aggiornati il tuo sistema operativo e le tue applicazioniGoogle e i produttori rilasciano frequentemente patch che risolvono le vulnerabilità di sicurezza e molti trojan sfruttano difetti noti che potrebbero essere evitati semplicemente installando le ultime versioni disponibili.
Un altro punto critico è la gestione delle password e dell'autenticazione. Utilizzare chiavi complesse, univoche per ogni servizio, e abilitano l'autenticazione a due fattori (2FA) Nei servizi bancari, nella posta elettronica, nei social network e nelle piattaforme crittografiche, aggiunge un ulteriore livello di protezione, anche se, come abbiamo visto, alcuni malware tentano di rubare i codici 2FA anche tramite SMS.
Quando possibile, è consigliabile optare per Metodi 2FA più robusti, come app di autenticazione o chiavi di sicurezza fisiche, invece dei tradizionali SMS, più facili da intercettare da parte di malware come SeedSnatcher.
Un altro consiglio fondamentale è quello di rivedere con calma il permessi richiesti dalle applicazioniSe un'app che presumibilmente ti consente di guardare video, controllare il meteo o gestire il parcheggio richiede l'accesso completo a SMS, servizi di accessibilità, contatti o amministrazione del dispositivo, insospettisciti. Molti attacchi si basano sul fatto che gli utenti tocchino "Accetta" senza leggere i termini e le condizioni.
Nell'ambiente aziendale, le organizzazioni dovrebbero implementare policy di gestione dei dispositivi mobili (MDM)Limitare l'installazione di app non autorizzate ed effettuare audit regolari per rilevare comportamenti sospetti. Inoltre, è essenziale formare i dipendenti a riconoscere i tentativi di phishing, sia tramite SMS, e-mail o messaggistica istantanea.
Per gli utenti avanzati, potrebbe essere utile combinare le misure di cui sopra con soluzioni specifiche per la sicurezza mobile che analizzano il comportamento delle app, rilevano abusi di accessibilità e verificano costantemente l'integrità del dispositivo. Tuttavia, nessuno strumento tecnico può sostituire il buon senso durante l'installazione e l'utilizzo delle app.
A livello personale, è consigliabile adottare alcune abitudini: Fate attenzione ai link inaspettati e controllate gli URL dei siti web che richiedono credenziali.Evita di inserire frasi seed o dati bancari nelle schermate che compaiono dopo l'installazione di app sconosciute e, in caso di dubbi, contatta direttamente l'ente o il servizio tramite i canali ufficiali.
L'emergere di FvncBot, SeedSnatcher e del rinnovato ClayRat dimostra che Il fronte della battaglia si è spostato sui dispositivi mobili. Con la stessa intensità, se non addirittura maggiore, di un computer desktop. La combinazione di abusi nell'accessibilità, sofisticate sovrapposizioni, controllo remoto di tipo VNC ed evasione avanzata fa sì che qualsiasi svista possa comportare il furto di denaro, lo svuotamento del portafoglio o la completa esposizione della propria vita digitale. Riconoscere che il telefono è un obiettivo prioritario e agire di conseguenza, prestando attenzione a ciò che installiamo, alle autorizzazioni che concediamo e al modo in cui gestiamo i nostri account, è diventato un elemento chiave della sicurezza quotidiana.
