Alcuni esperti di sicurezza informatica hanno scoperto tre nuovi trojan bancari su Android, vale a dire FvncBot, SeedSnatcher, oltre ad una variante aggiornata dello spyware ClayRat.

Tre nuovi trojan bancari minacciano Android, vale a dire FvncBot, SeedSnatcher e con loro una variante aggiornata dello spyware ClayRat. Lo hanno rilevato alcuni analisti di sicurezza cyber, evidenziando le vulnerabilità per il sistema operativo e per i dispositivi che lo utilizzano.

Si tratta di trojan bancari molto sofisticati, le cui caratteristiche sono quelle di eludere le misure di sicurezza del sistema operativo di Google. Oltre a sottrarre i dati sono un vettore per compiere delle operazioni finanziarie, rubando denaro.

Le analisi sono arrivate da Intel 471, CYFIRMA e Zimperium e hanno definito uno scenario di grande “pericolo per gli utenti, i loro dispositivi e i loro dati personali“.

FvncBot, gli aspetti del pericoloso trojan bancario

FvncBot si presenta come un’app di sicurezza con il marchio mBank. Il suo obiettivo è infatti mirare esplicitamente agli utenti di mobile bankink. La differenza rispetto ad altri trojan bancari è che non deriva da codici esistenti. Sarebbe infatti sorto completamente da zero, “senza ispirarsi a famiglie note come ERMAC, il cui codice sorgente è stato reso pubblico in passato“.

Secondo Intel 471, il malware “integra funzionalità avanzate come keylogging tramite abuso dei servizi di accessibilità di Android, attacchi web-inject, screen streaming e hidden remote access (HVNC)“.

Una volta avviata, l’app dropper “induce l’utente a installare un componente apparentemente legato alla sicurezza di Google Play“. Il trojan sfrutta un meccanismo basato sulla sessione per aggirare le restrizioni sulle autorizzazioni di accessibilità introdotte con Android 13 e versioni successive. In questi termini, durante il suo funzionamento, questo malware invia dati di log a un server remoto.

Sebbene non siano ancora chiare le modalità di attacco, è probabile che gli operatori hacker criminali ricorrano a campagne di phishing via SMS o app store non ufficiali. Si tratta di modalità in linea con operazioni malevole già ampiamente studiate.

SeedSnatcher, il nuovo malware che colpisce Telegram

Parallelamente, CYFIRMA ha analizzato SeedSnatcher, un malware distribuito tramite Telegram sotto il nome di Coin e progettato per sottrarre seed phrase di wallet di criptovalute. L’operatività non è limitata alle valute digitali. Questo trojan è in grado di intercettare SMS per rubare codici di autenticazione a due fattori, oltre a estrarre dati dal dispositivo, dai contatti ai registri delle chiamate.

SeedSnatcher utilizza un set di tecniche di elusione avanzate, come il caricamento dinamico delle classi e l’iniezione invisibile di contenuti tramite WebView. Aumenta così progressivamente i privilegi dopo aver ottenuto autorizzazioni minimali come l’accesso agli SMS.

Come opera la variante aggiornata di ClayRat?

Zimperium ha in ultimo individuato una nuova versione di ClayRat, uno spyware già noto. La differenza è che quest’ultimo si è arricchito con una serie di capacità che l’hanno reso ancora più pericoloso. La misura ha aumentato l’abuso dei servizi di accessibilità e lo sfruttamento delle autorizzazioni tramite SMS predefinite per ottenere un accesso quasi completo al dispositivo.

La variante aggiornata ha inoltre consentito di registrare sequenze di tasti e schermo, oltreché di generare “sovrapposizioni che imitano schermate di sistema e creare notifiche fasulle“.

La diffusione del malware è avvenuta tramite 25 domini di phishing che imitano servizi come YouTube, promuovendo una falsa versione “Pro” con riproduzione in background e supporto HDR 4K.

Sempre secondo gli analisti di Zimperium, “l’insieme delle nuove funzionalità rende questa versione di ClayRat più pericolosa rispetto alle precedenti“. In questi termini, è molto più difficile accorgersi del virus o di disinstallare l’applicazione compromessa.

Vai al sito di Cybersecurity Italia.

L'articolo Android, scoperti tre nuovi trojan bancari. Come difendersi sembra essere il primo su CyberSecurity Italia.