Negli ultimi giorni, il panorama della sicurezza mobile su Android è tornato sotto i riflettori grazie alla scoperta di tre nuove minacce particolarmente insidiose, due malware del tutto nuovi e uno aggiornato, che come spesso accade in questi casi sfruttano in modo aggressivo i servizi di accessibilità, una delle funzionalità più delicate del sistema operativo di Google; si tratta di FvncBot, SeedSnatcher e della nuova variante di ClayRat.
Una situazione che, come sempre, richiede attenzione ma non allarmismi, adottare le giuste abitudini può davvero fare la differenza, anche perché molte infezioni iniziano da un singolo clic su un link sbagliato o su un’app che sembra legittima.
Indice:
Segui TuttoAndroid su Google Discover
Offerte Amazon Prime Day, scopri quando!
Iscrivi ad Amazon Prime per poter approfittare delle offerte Prime Day, i primi 30 giorni sono gratis!
FvncBot è un nuovo trojan bancario
Il primo dei tre malware, FvncBot, si presenta come un’app di sicurezza sviluppata da mBank e, tanto per chiarire subito il contesto, non deriva dal codice di altri trojan noti come ERMAC, ma è stato scritto completamente da zero.
Gli obbiettivi principali del software malevolo sono gli utenti di mobile banking in Polonia e il furto di credenziali e dati sensibili tramite attività fraudolente. Per farlo, il malware sfrutta un insieme di tecniche ormai tristemente note agli esperti:
- keylogging abusando dei servizi di accessibilità
- attacchi web-inject
- screen streaming
- Hidden Virtual Network Computing (HVNC), che consente di controllare il dispositivo come se lo si avesse fisicamente tra le mani
Secondo gli analisti, il malware FvncBot è distribuito attraverso un loader protetto da un servizio di crittografia chiamato apk0day, fornito da Golden Crypt; una volta installata l’app dropper, agli utenti viene mostrato un falso messaggio che invita a scaricare un componente di Google Play per migliorare sicurezza e stabilità; in realtà, ovviamente, si tratta del malware stesso.
Una volta ottenuti i permessi di accessibilità, FvncBot si connette a un server remoto, registra il dispositivo e riceve comandi tramite Firebase Cloud Messaging.
Tra le sue capacità ci sono lo streaming dello schermo, la generazione di sovrapposizioni a schermo intero, la raccolta di dati sulle app installate e persino la possibilità di ispezionare lo schermo anche quando un’app impedisce gli screenshot (grazie alla modalità testo e all’uso dell’API MediaProjection).
Al momento il malware è configurato per colpire solo utenti polacchi ma, come spesso accade in questi casi, nulla vieta ai suoi sviluppatori di espandere presto il target verso altre regioni.
SeedSnatcher è un malware che ruba crypto e codici 2FA distribuito via Telegram
La seconda minaccia identificata si chiama SeedSnatcher, ed è particolarmente pericolosa per chi opera nel mondo delle criptovalute; il malware infatti viene distribuito tramite Telegram con il nome ingannevole di Coin e ha un obbiettivo molto chiaro, sottrarre le seed phrase dei wallet crypto.
Oltre a questo SeedSnatecher può intercettare SMS (inclusi i codici di autenticazione a due fattori), accedere a file, contatti, registri delle chiamate, dati del dispositivo, nonché mostrare overlay di phishing sopra altre app per manipolare l’utente.
Gli esperti ritengono che i suoi operatori siano in Cina o siano comunque di lingua cinese, visto che nel canale di distribuzione vengono condivise istruzioni e pannelli di controllo proprio in cinese.
Il malware, per eludere il rilevamento, sfrutta tecniche evolute come caricamento dinamico di classi, WebView inject nascosti e comandi basati su integer mapping.
Parte richiedendo pochissime autorizzazioni (ad esempio la lettura degli SMS), poi gradualmente eleva i privilegi, ottenendo accesso a elementi sempre più sensibili, inclusi file system e sovrapposizioni persistenti.
ClayRat si aggiorna e diventa più pericoloso
Il terzo attore coinvolto è ClayRat, un malware già moto ma che è stato recentemente aggiornato ottenendo capacità molto più aggressive; la nuova versione può infatti abusare dei servizi di accessibilità, sfruttare le autorizzazioni SMS integrate, registrare sequenze di tasti e lo schermo, creare sovrapposizioni che imitano aggiornamenti di sistema, e generare notifiche false per carpire interazioni della vittima.
In pratica, il malware può arrivare a sbloccare automaticamente il dispositivo, eseguire automatismi, registrare schermo e notifiche, mantenere sovrimpressioni persistenti che impediscono all’utente di capire cosa stia succedendo.
La sua distribuzione avviene tramite 25 domini di phishing che imitano servizi molto noti, come ad esempio una falsa versione di YouTube Pro; in alcuni casi, i dropper che installano il malware fingono di essere app russe dedicate a taxi o parcheggi.
Una differenza sostanziale rispetto alla versione precedente è che, oggi, ClayRat è molto più difficile da rimuovere: le sue attività vengono mascherate da overlay che simulano schermate di sistema o processi di aggiornamento, rendendo più arduo per l’utente intuire di essere stato infettato.
Come difendersi da questo tipo di minacce
Come sempre, la difesa più efficace arriva da alcune regole semplici, che molti utenti ignorano finché non è troppo tardi:
- scaricare app solo dal Google Play Store o da fonti ufficiali
- mai installare componenti “necessari per la sicurezza” se proposti da app esterne
- tenere aggiornato il sistema operativo
- evitare di cliccare su link ricevuti via SMS o su app store di terze parti
- controllare con attenzione le autorizzazioni richieste dalle app, soprattutto quelle relative ai servizi di accessibilità
- preferire metodi di autenticazione a due fattori non basati su SMS
Molti dei malware più pericolosi degli ultimi anni hanno avuto successo solo perché l’utente ha approvato un pop-up troppo in fretta, o ha concesso autorizzazioni eccessive senza leggerne la descrizione; e come sempre, vale la solita regola, se un’app promette troppo e sembra troppo bella per essere vera, probabilmente non lo è.
La comparsa contemporanea di FvncBot, SeedSnatcher e della nuova variante di ClayRat evidenzia ancora una volta quanto i servizi di accessibilità e la gestione degli overlay di Android restino aree critiche, spesso sfruttate per bypassare le difese standard del sistema. Come sempre, la difesa più efficace resta nelle mani degli utenti: cautela, attenzione e download consapevoli.
- SmartTube, la popolare alternativa a YouTube su Android TV, è stata compromessa da malware
- GhostAd è l’adware nascosto su Google Play che prosciuga le risorse di milioni di dispositivi Android
- Nuova ondata di malware Android tra attacchi NFC Relay e il pericoloso Albiriox
- Sturnus è un nuovo e pericoloso malware Android che aggira la crittografia delle app