Negli ultimi giorni sono emerse tre nuove minacce che stanno attirando l’attenzione dei ricercatori di sicurezza: FvncBot, SeedSnatcher e una versione aggiornata di ClayRat. Anche in questo caso torna un denominatore comune che gli esperti conoscono bene: l’abuso dei servizi di accessibilità, uno degli elementi più delicati dell’ecosistema Android. Non serve allarmarsi, ma conoscere le dinamiche aiuta a evitare infezioni che spesso iniziano da un semplice tocco su un link o da un’app dall’aspetto legittimo.
FvncBot: un trojan bancario scritto da zero
Il primo malware, FvncBot, circola fingendosi un’app di sicurezza collegata alla banca mBank e non deriva da varianti già note: è stato scritto completamente da zero. Colpisce soprattutto gli utenti polacchi, con l’obiettivo di rubare credenziali e dati tramite tecniche come keylogging, web-inject, screen streaming e persino controllo remoto tramite HVNC.
Viene distribuito attraverso un loader protetto dal servizio apk0day. Dopo l’installazione, mostra un finto avviso che invita a scaricare un inesistente “componente Google Play”: è in quel momento che il malware entra in azione. Una volta ottenuti i permessi di accessibilità, si collega a un server remoto e riceve istruzioni via Firebase Cloud Messaging. Può generare overlay, raccogliere dati sulle app installate e catturare informazioni anche da schermate che normalmente impediscono screenshot.
SeedSnatcher: il furto delle seed phrase via Telegram
Il secondo malware, SeedSnatcher, è particolarmente rischioso per chi utilizza wallet crypto. Si diffonde tramite Telegram con il nome truffaldino “Coin” e punta a sottrarre seed phrase, codici 2FA, SMS e altri dati sensibili. Utilizza tecniche avanzate per eludere i controlli, come caricamento dinamico delle classi e overlay che imitano app legittime. Il codice e i pannelli di controllo indicano una probabile origine cinese.
ClayRat: una vecchia conoscenza che diventa molto più aggressiva
La terza minaccia è una variante rinnovata di ClayRat, ora più difficile da rilevare e da rimuovere. Oltre ai servizi di accessibilità sfrutta autorizzazioni SMS, registrazione dello schermo, notifiche false e overlay che imitano aggiornamenti di sistema. Si diffonde tramite 25 domini di phishing che imitano piattaforme note o tramite app fasulle legate a servizi russi.
Le nuove capacità permettono al malware di mantenere sovrimpressioni persistenti che impediscono all’utente di rendersi conto dell’infezione.
Comportamenti semplici che riducono drasticamente i rischi
Anche in questo caso, la protezione passa da alcune accortezze essenziali: scaricare app solo da fonti ufficiali, evitare link sospetti, controllare con attenzione le autorizzazioni richieste dalle app, aggiornare il sistema e preferire metodi 2FA non basati su SMS.
La comparsa simultanea di FvncBot, SeedSnatcher e ClayRat dimostra quanto l’uso improprio dei servizi di accessibilità resti un vettore sfruttato dai cybercriminali. La prudenza, più di ogni altra tecnologia, rimane la difesa più efficace.
