Il mondo della sicurezza mobile torna a farsi più complesso, e ancora una volta i protagonisti sono malware Android. Negli ultimi giorni gli analisti di sicurezza hanno individuato tre software malevoli particolarmente insidiosi: FvncBot, SeedSnatcher e una nuova variante di ClayRat. Due di questi sono completamente inediti, mentre il terzo rappresenta un’evoluzione più aggressiva di una minaccia già conosciuta.
FvncBot si presenta come un trojan bancario scritto da zero, camuffato da applicazione di sicurezza collegata a un istituto finanziario reale, nel tentativo di apparire credibile. Una volta installato, il malware convince l’utente a concedere i permessi di accessibilità attraverso falsi messaggi che simulano aggiornamenti di sicurezza o componenti di Google Play. Da quel momento lo smartphone diventa un dispositivo controllabile a distanza, con la possibilità di intercettare digitazioni, visualizzare lo schermo in tempo reale e sovrapporre schermate false alle app bancarie. Al momento il target principale è la Polonia, ma la struttura del malware lascia intendere che un’espansione geografica sia tutt’altro che improbabile.
SeedSnatcher segue una logica diversa ma altrettanto pericolosa, puntando dritto al mondo delle criptovalute. Diffuso attraverso canali Telegram con nomi apparentemente innocui, questo malware Android è progettato per sottrarre le seed phrase dei wallet crypto e intercettare anche i codici di autenticazione a due fattori inviati via SMS. La sua forza sta nella gradualità. Inizialmente richiede pochi permessi, per poi estendere il proprio controllo fino a ottenere accesso a file, contatti e sovrapposizioni persistenti, rendendo difficile per l’utente accorgersi di ciò che sta accadendo.
Malware Android sempre più sofisticati
La terza minaccia, ClayRat, rappresenta l’evoluzione più inquietante. Già noto agli esperti, il malware è stato aggiornato con funzionalità che lo rendono molto più difficile da individuare e rimuovere. La nuova versione è in grado di simulare schermate di sistema, falsi aggiornamenti e notifiche ingannevoli, mantenendo overlay costanti che confondono l’utente e mascherano le attività malevole. In alcuni casi il software riesce persino a sbloccare il dispositivo e ad automatizzare azioni senza che il proprietario se ne renda conto.
La diffusione di ClayRat avviene tramite domini di phishing che imitano servizi popolari e applicazioni apparentemente legittime, un approccio che sfrutta la fretta e la fiducia dell’utente più che vere e proprie vulnerabilità tecniche. Ed è proprio questo il punto centrale. La maggior parte dei malware Android moderni non forza il sistema, ma ottiene il controllo grazie a permessi concessi volontariamente, spesso senza leggere con attenzione ciò che viene richiesto.
In questo contesto, la prevenzione resta l’arma più efficace. Installare app solo da fonti ufficiali, diffidare di presunti aggiornamenti di sicurezza proposti da applicazioni esterne e controllare con cura le autorizzazioni, soprattutto quelle legate all’accessibilità, può fare una differenza enorme.
