Barracuda full logo

Malware Brief: Android nel mirino — FvncBot, SeedSnatcher, ClayRat

Argomenti:
9 dic 2025
|
Tony Burgess

Malware Android emergente: tattiche, obiettivi e strategie di difesa

Punti chiave:

  • Android malware minacce si evolvono rapidamente, prendendo di mira sia individui che organizzazioni in tutto il mondo.
  • FvncBot utilizza l'accesso remoto basato su VNC per rubare credenziali e controllare i dispositivi in tempo reale.
  • SeedSnatcher è specializzato nel furto di frasi seed di portafogli di criptovaluta e chiavi private da utenti Android.
  • ClayRat è uno strumento spyware modulare utilizzato per la sorveglianza, il furto di dati e il compromesso persistente dei dispositivi.
  • Gli attaccanti sfruttano l'ingegneria sociale, le sovrapposizioni di phishing e la distribuzione di app dannose per infettare i dispositivi Android.
  • Proteggiti installando app solo da fonti affidabili, mantenendo i dispositivi aggiornati e abilitando l'autenticazione a due fattori.

Come utente di telefoni Android di lunga data, sono abituato a ignorare il disprezzo o anche le prese in giro che molti dei miei amici amanti dell'iPhone mi mandano. Ma nonostante i suoi numerosi vantaggi (IMHO), la verità è che Android è significativamente più soggetto ad attacchi malware rispetto a iOS/iPhone. (Ma vedi anche come un rapporto recente di Google suggerisce il contrario.)

I dispositivi Android sono incredibilmente popolari, con miliardi di utenti in tutto il mondo, alimentando tutto, dalle operazioni bancarie e pagamenti alle comunicazioni personali e operazioni aziendali. Questa ubiquità, tuttavia, ha reso Android un obiettivo privilegiato per i criminali informatici e attori di minacce avanzate.

Negli ultimi mesi, i ricercatori hanno osservato un aumento delle campagne di malware sofisticate che sfruttano ingegneria sociale, le funzionalità di accessibilità di Android e i canali di distribuzione di app di terze parti. Questi attacchi stanno crescendo non solo in complessità tecnica, ma anche nella loro capacità di eludere il rilevamento e di mirare a dati di alto valore, inclusi credenziali finanziarie e portafogli di criptovaluta.

Il briefing di oggi evidenzia tre delle famiglie di malware Android più preoccupanti attualmente attive in circolazione: FvncBot, SeedSnatcher e ClayRat. Ognuna di queste presenta capacità e vettori di attacco unici, sottolineando la necessità di una maggiore vigilanza e di pratiche di sicurezza mobile robuste.

FvncBot: Il RAT Android con un tocco VNC

Tipo: Trojan di accesso remoto (RAT)
Funzionalità: Condivisione dello schermo basata su VNC, furto di credenziali, controllo del dispositivo
Autori della minaccia: Multipli, inclusi gruppi motivati finanziariamente

FvncBot è un nuovo Trojan bancario Android che si distingue per l'utilizzo del virtual network computing (VNC) per abilitare il controllo e la sorveglianza in tempo reale del dispositivo. Travestito da un'app di sicurezza legittima (notoriamente per mBank in Polonia), FvncBot abusa dei servizi di accessibilità di Android per registrare i tasti premuti, eseguire attacchi di web-inject, trasmettere lo schermo del dispositivo e implementare sovrapposizioni nascoste per il furto di credenziali.

Il malware viene distribuito tramite app dropper che invitano gli utenti a installare un falso componente di Google Play, bypassando le restrizioni di sicurezza delle versioni più recenti di Android. Sebbene il suo obiettivo iniziale siano stati gli utenti polacchi, i ricercatori avvertono che le sue tattiche potrebbero facilmente essere adattate ad altre regioni e istituzioni.

SeedSnatcher: Raccoglitore di credenziali con un focus sulle criptovalute

Tipo: Infostealer
Funzionalità: Monitoraggio degli appunti, furto di frasi seed, sovrapposizioni di phishing, intercettazione di SMS
Attori delle minacce: Probabilmente motivati finanziariamente, con base in Cina o di lingua cinese

SeedSnatcher è un sofisticato infostealer che prende di mira gli utenti di criptovalute. Distribuito con il nome "Coin" tramite Telegram e altri canali social, è specializzato nel raccogliere frasi seed dei wallet e chiavi private tramite sovrapposizioni di phishing convincenti che imitano app crypto popolari.

Il malware intercetta anche i messaggi SMS per rubare i codici di autenticazione a due fattori, esfiltra i dati del dispositivo ed eleva i privilegi per accedere ai contatti, ai registri delle chiamate e ai file.

Gli operatori di SeedSnatcher impiegano tecniche avanzate di evasione, tra cui il caricamento dinamico delle classi e l'iniezione furtiva di WebView, rendendo difficile la loro rilevazione e rimozione.

ClayRat: Strumento di spionaggio con payload modulari

Tipo: RAT/spiware modulare
Capacità: Keylogging, registrazione audio/video, esfiltrazione di file, attacchi overlay, controllo del dispositivo
Attori della minaccia: Gruppi APT sospetti, possibile patrocinio statale

ClayRat è una famiglia avanzata di spyware Android che si è evoluta rapidamente per includere una vasta gamma di funzionalità di sorveglianza e controllo del dispositivo. Le versioni più recenti abusano sia dei permessi SMS che di quelli di accessibilità per catturare le sequenze di tasti, registrare gli schermi, raccogliere notifiche e distribuire sovrapposizioni che imitano aggiornamenti di sistema o schermi neri per nascondere attività dannose.

ClayRat viene distribuito attraverso domini di phishing e canali Telegram, spesso spacciandosi per app popolari come YouTube o servizi di taxi regionali. I suoi meccanismi di persistenza e la capacità di automatizzare lo sblocco dei dispositivi lo rendono una minaccia formidabile, soprattutto in ambienti bring-your-own-device (BYOD).

Protezione del tuo dispositivo Android

Il panorama del malware Android si sta evolvendo rapidamente, con gli attaccanti che sfruttano le funzionalità di accessibilità, le sovrapposizioni di phishing e l'ingegneria sociale per compromettere i dispositivi e rubare dati sensibili. Per difendersi dalle minacce come FvncBot, SeedSnatcher e ClayRat, la miglior politica è seguire le stesse linee guida che usi per proteggere altri dispositivi e endpoint dal malware.

  • Installa app solo da fonti affidabili (Google Play, siti ufficiali dei fornitori)
  • Mantieni aggiornati il tuo dispositivo, le tue app e la sicurezza mobile.
  • Usa password forti e uniche e abilita l'autenticazione a due fattori
  • Fai attenzione ai link, ai download e alle richieste di autorizzazioni non richieste — impara a riconoscere i tentativi di phishing
Esplora la piattaforma BarracudaONE
Tony Burgess

Tony Burgess è un veterano di vent'anni dell'industria della sicurezza informatica ed è Senior Copywriter per i contenuti e il marketing clienti di Barracuda. In questo ruolo, ricerca argomenti tecnici complessi e traduce i risultati in prosa chiara, utile e leggibile.

Puoi connetterti con Tony su LinkedIn qui.

Post correlati:
Radar delle Minacce E-mail — gennaio 2026
Radar delle Minacce E-mail — gennaio 2026
 Avviso FBI sul quishing avverte di una campagna di spear-phishing nordcoreana
Avviso FBI sul quishing avverte di una campagna di spear-phishing nordcoreana
 Il ransomware Qilin aumenta nel 2026
Il ransomware Qilin aumenta nel 2026
 Crimine informatico nel 2026: più veloce, più intelligente e completamente industrializzato
Crimine informatico nel 2026: più veloce, più intelligente e completamente industrializzato
Cerca nel blog

Rapporto sulle violazioni della sicurezza e-mail 2025

Risultati chiave sull'esperienza e l'impatto delle violazioni della sicurezza e-mail sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

The MSP Customer Insight Report 2025

Uno sguardo globale su ciò di cui le organizzazioni hanno bisogno e vogliono dai loro provider di servizi gestiti per la sicurezza informatica

Scarica il report

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Ricevi tutte le ultime notizie, ricerche e analisi direttamente nella tua casella di posta.