Nel panorama dei pericoli informatici dai quali difendersi come virus e malware, alcuni rappresentano una minaccia ben più grave rispetto ad altri ed è spesso il caso dei trojan, la microcategoria più pericolosa tra i malware, in grado di fare seri danni soprattutto se programmati per rubare credenziali bancarie e dati finanziari.

Ebbene, alcuni esperti di sicurezza hanno individuato due varianti di malware particolarmente insidiose per gli utenti Android. Si tratta di BankBot-YNRK e DeliveryRAT, due trojan che si mascherano da app legittime per rubare informazioni personali e finanziarie, mettendo a rischio milioni di dispositivi in tutto il mondo. Facciamo chiarezza.

BankBot-YNRK si finge un’app governativa per sottrarre dati sensibili

Secondo il team di CYFIRMA, il trojan BankBot-YNRK è stato scoperto all’interno di un’app falsa chiamata IdentitasKependudukanDigital.apk, un nome pensato per imitare l’app ufficiale del governo indonesiano dedicata all’identità digitale. Il malware colpisce soprattutto i dispositivi con Android 13 o versioni precedenti, che risultano più vulnerabili alle sue tecniche di intrusione.

Una volta installato, il trojan disattiva le notifiche del telefono e inizia a raccogliere in silenzio una vasta gamma di informazioni come dati personali, dettagli del dispositivo, messaggi, contatti, posizione, contenuti degli appunti e persino le chiamate in corso. Tutto viene inviato a un server remoto controllato dagli hacker, al quale l’app concede automaticamente permessi di accessibilità, permettendo un monitoraggio continuo delle attività dell’utente senza che questo si accorga pressoché di nulla.

BankBot-YNRK è progettato principalmente per rubare credenziali bancarie e finanziarie. Secondo i ricercatori, il malware è in grado di riconoscere e attaccare oltre 60 applicazioni bancarie e siti web. Una volta insediato, può persistere anche dopo un riavvio del dispositivo, sfruttando il servizio Android JobScheduler per riattivarsi autonomamente.

DeliveryRAT è il malware che si diffonde tramite app di consegna e tracciamento

La seconda minaccia individuata è DeliveryRAT, un trojan diffuso soprattutto in Russia attraverso app fasulle di tracciamento pacchi, food delivery e banche. Secondo la società di sicurezza F6, il malware viene venduto come “malware-as-a-service” su Telegram tramite un bot chiamato Bonvi Team.

Gli attacchi iniziano con campagne ingannevoli che invitano gli utenti a scaricare finte app di lavoro remoto o di monitoraggio degli ordini. Una volta installato, DeliveryRAT richiede permessi di notifica e batteria per evitare la chiusura automatica e continuare a operare in background.

Questo trojan può rubare SMS, registri delle chiamate e informazioni personali, nascondendo la propria icona dalla schermata principale per passare inosservato. Alcune versioni sono anche in grado di lanciare attacchi DDoS mirati, trasformando i dispositivi infetti in veri e propri nodi di una rete malevola.

Secondo una conferma indipendente dal portale Zimperium, queste app fraudolente sono diffuse principalmente in Russia, Brasile, Polonia, Repubblica Ceca e Slovacchia, ma potrebbero espandersi rapidamente ad altri Paesi attraverso canali di distribuzione informali.

Come difendersi da queste minacce

Le due campagne malware evidenziano un trend nel campo delle minacce informatiche ovvero quello secondo cui gli hacker stiano sfruttando la fiducia degli utenti nelle app quotidiane, come quelle per la banca o per le consegne. Le app infette spesso appaiono identiche a quelle originali, ma operano in modo subdolo, rubando dati e inviandoli a server remoti.

Ma come difendersi? Gli stessi esperti che hanno scovato i suddetti trojan consigliano di scaricare app solo dal Google Play Store o da fonti ufficiali, evitare file APK provenienti da link o chat, e verificare sempre le autorizzazioni richieste durante l’installazione.

Inoltre, mantenere il sistema operativo aggiornato riduce notevolmente le possibilità di infezione, poiché molte vulnerabilità sfruttate da questi malware sono già state corrette nelle versioni più recenti di Android. Dunque, l’invito è quello di aggiornare sempre il vostro dispositivo Android anche se la release non porta con sé novità evidenti o sostanziali, perché spesso è sotto il cofano che si mantengono alla larga minacce informatiche del genere.