Android, scoperti tre nuovi trojan bancari. Come difendersi

Tre nuovi trojan bancari che colpiscono Android si chiamano FvncBot, SeedSnatcher e una variante aggiornata dello spyware ClayRat; puntano a rubare credenziali, codici 2FA e a fare operazioni bancarie direttamente dal tuo dispositivo.​

Cosa fanno questi nuovi trojan

• FvncBot
  • È un trojan bancario avanzato con funzioni di keylogging, web‑inject, screen streaming e accesso remoto nascosto (HVNC), ottenute abusando dei servizi di accessibilità di Android.​
  • Permette ai criminali di vedere lo schermo, inserire dati al posto tuo e completare transazioni fraudolente come se fossero l’utente legittimo.​
• SeedSnatcher
  • È focalizzato sul furto di seed phrase per wallet crypto, codici 2FA e altri dati sensibili, usando tecniche come caricamento dinamico delle classi e iniezioni WebView “invisibili”.​
  • Viene spesso distribuito tramite canali non ufficiali (es. Telegram, store alternativi) e richiede inizialmente pochi permessi, che poi aumenta progressivamente.​
• ClayRat (variante aggiornata)
  • È uno spyware già noto, ora potenziato con registrazione di tasti e schermo, overlay che imitano schermate di sistema e notifiche false per carpire credenziali e spingere l’utente a dare permessi critici.​
  • La diffusione recente è avvenuta tramite almeno 25 domini di phishing che imitano servizi come YouTube, con finte versioni “Pro” che promettono funzioni extra (background, HDR 4K).​

Come vengono distribuiti

• Campagne di phishing/smishing con link a pagine che propongono app “utili” (versioni Pro, ottimizzatori, player video, ecc.) ma in realtà sono loader/droppers del trojan.​
• Store e repository non ufficiali o APK condivisi su canali di messaggistica (es. app modificate, crack, versioni “premium” gratis).​
• Domini fasulli che imitano servizi legittimi (es. YouTube Pro, app bancarie o di streaming) per ingannare anche utenti relativamente esperti.​

Difesa pratica: cosa impostare subito

• Aggiorna Android e patch di sicurezza
  • Verifica che il livello patch sia almeno dicembre 2025, perché molte campagne attuali puntano proprio su falle non ancora patchate.​
  • Aggiorna anche app bancarie, Google Play Services e Play Store per beneficiare delle mitigazioni anti‑fraud più recenti.​
• Usa solo store ufficiali e niente APK “random”
  • Installa app solo da Google Play o store del produttore; disattiva “Origini sconosciute / Installa app sconosciute” per browser e app di messaggistica che non ti servono per lavoro.​
  • Evita app “Pro/Plus/Mod” trovate via link, social o canali Telegram, soprattutto se promettono funzioni sbloccate o streaming in 4K “gratis”.​
• Hardening di permessi e Accessibilità
  • Controlla in Impostazioni → Accessibilità e “Accesso speciale” che non ci siano app sconosciute con permessi di accessibilità, overlay (Mostra sopra altre app), amministratore dispositivo o lettura SMS.​
  • Revoca questi permessi a tutto ciò che non è strettamente necessario (es. un semplice player video non deve leggere SMS né avere accessibilità).​
• Protezione antimalware e Play Protect
  • Assicurati che Google Play Protect sia attivo e che effettui la scansione periodica delle app installate.​
  • Affianca un antimalware affidabile (es. prodotti noti tipo Bitdefender, Malwarebytes, Kaspersky, Norton), che tengano traccia dei nuovi trojan bancari e delle loro varianti.​

Comportamenti da adottare per il banking

• Non seguire link a “app della banca” o “aggiornamenti di sicurezza” ricevuti via SMS, email o chat: apri sempre l’app bancaria partendo dalla scorciatoia ufficiale o cercandola manualmente sullo store.​
• Attiva notifiche in tempo reale di banca e carta per ogni movimento, così intercetti subito transazioni sospette e puoi bloccare il conto/carta rapidamente.​
• Usa MFA forte (app di autenticazione, token hardware o notifiche push) evitando il più possibile gli SMS come unico fattore, perché molti trojan includono furto o intercettazione di SMS.​

Cosa fare se sospetti un’infezione

• Scollega subito il device da reti sensibili (Wi‑Fi aziendali, VPN di lavoro) e non aprire app bancarie o di pagamento.​
• Esegui una scansione completa con l’antimalware e rimuovi le app segnalate; se l’allarme riguarda trojan bancari/spyware avanzati, esegui backup dei dati personali e procedi a un reset di fabbrica, reinstallando solo app verificate.​
• Cambia le password dei servizi critici (banca, email, store) da un altro dispositivo sicuro e verifica gli ultimi movimenti bancari con l’assistenza della tua banca.

Per rimuovere FvncBot da Android serve trattarlo come un trojan bancario avanzato: disattivare la sua esecuzione (modalità sicura), revocare permessi critici, disinstallare il loader/app fasulla e, se c’è stato accesso a servizi finanziari, valutare un reset di fabbrica più cambio credenziali.​

Passi immediati sul dispositivo

1. Scollega e sospendi attività sensibili
   • Disattiva Wi‑Fi/VPN, non aprire app bancarie e non inserire password finché non hai bonificato il device.​
   • Se hai già notato operazioni sospette sul conto, contatta subito la banca per blocco carte e verifica transazioni.​
2. Riavvia in modalità sicura
   • Tieni premuto il tasto di accensione → tocca “Spegni” e tieni premuto finché non compare “Modalità sicura”, quindi conferma il riavvio.​
   • In Safe Mode le app di terze parti (compreso il loader di FvncBot) non vengono eseguite, rendendo più facile la rimozione.​

Rimozione dell’app malevola

3. Individua il loader/app sospetta
   • FvncBot è stato osservato in app che imitano il “Klucz bezpieczeństwa mBank” o altre “app di sicurezza” bancarie; controlla app installate di recente con icone/nome di banca o “security key” che non provengono dallo store ufficiale.​
   • Verifica anche app con permessi di Accessibilità, overlay (“Mostra sopra altre app”) e lettura SMS che non riconosci.​
4. Revoca permessi e disinstalla
   • Impostazioni → Accessibilità / Accesso speciale → disattiva l’accessibilità per qualsiasi app sospetta.​
   • Impostazioni → App → seleziona l’app sospetta → rimuovi eventuale stato di “Amministratore dispositivo” (se presente) e poi tocca “Disinstalla”.​
   • Se non si lascia disinstallare in modalità normale, riprova dalla modalità sicura dove i processi terzi sono fermi.​
5. Scansione antimalware e Play Protect
   • Impostazioni Play Store → Play Protect → esegui una scansione completa e rimuovi tutto ciò che viene segnalato come dannoso.​
   • Esegui una scansione con una suite affidabile (Bitdefender, Malwarebytes, Kaspersky, ecc.), che rilevi trojan bancari generici (Bankbot‑like) e droppers collegati.​

Pulizia dati e credenziali

6. Pulisci browser e possibili web‑inject residui
   • Per Chrome: Impostazioni → App → Chrome → Archiviazione → “Gestisci spazio” → “Cancella tutti i dati”.​
   • Per Firefox: Impostazioni → App → Firefox → Archiviazione → “Cancella dati”.​
   • Questo elimina cookie, sessioni e script potenzialmente collegati alle pagine di phishing usate dal trojan.​
7. Cambia password e abilita MFA forte
   • Da un PC/telefono sicuro, cambia le password di email principale, conto bancario, Google account e servizi critici, abilitando autenticazione a due fattori con app o token (non solo SMS).​
   • Verifica i log di accesso dei tuoi account e disconnetti eventuali dispositivi sconosciuti.​

Quando fare il reset di fabbrica

8. Factory reset (consigliato se hai fatto banking dopo l’infezione)
   • Se hai usato app bancarie dopo aver installato l’APK infetto, o se noti ancora anomalie (overlay strani, blocchi, notifiche anomale), esegui backup dei soli dati personali (foto, contatti, ecc.) e poi Impostazioni → Sistema → Opzioni di reimpostazione → Cancella tutti i dati (reset di fabbrica).​
   • Dopo il reset reinstalla solo app dallo store ufficiale, evitando qualunque APK o link precedentemente usato.​

Hardening post‑incident

9. Rinforza il dispositivo contro FvncBot e simili
   • Lascia disattivata l’installazione da “Origini sconosciute” per browser/messaggistica e non installare app banca/sicurezza da link in SMS o email.​
   • Controlla periodicamente le app con permessi di Accessibilità e overlay, e mantieni Android e le app bancarie sempre aggiornati.

Individuare il loader di FvncBot significa trovare l’app “fasulla” che hai installato tu (di solito da link/SMS o APK esterno) e che funge da finta app bancaria o di sicurezza, poi rimuoverla revocando prima permessi critici.​

Come riconoscere il loader di FvncBot

• Nome e icona sospetti
  • Il caso “classico” è l’app che si spaccia per “Klucz bezpieczeństwa mBank” / “mBank Security Key” (app di sicurezza per mBank), installata da APK scaricato via link o sito non ufficiale.​
  • Altre varianti possono imitare app di sicurezza/OTP della banca, oppure “Security key”, “Secure banking”, “Auth app”, ecc. ricevute via SMS phishing o email.​
• Origine di installazione
  • Se l’app bancaria o “di sicurezza” non viene da Play Store ma da link in SMS/WhatsApp/email, o da sito che chiedeva di scaricare manualmente un APK, è un fortissimo indicatore di loader.​
  • Queste app in genere chiedono subito permessi elevati (Accessibilità, overlay, lettura SMS/call log) e magari ti invitano a installare un presunto “Play component” o “modulo di sicurezza aggiuntivo”.​
• Comportamenti tipici
  • Dopo l’installazione mostra schermate che chiedono di “attivare la protezione”, “abilitare il componente di sicurezza” o “aggiornare la chiave di sicurezza” e ti manda nelle impostazioni per abilitare Accessibilità/overlay.​
  • Può non avere funzionalità reali visibili: icona presente, ma app che mostra solo schermate minimali o fittizie e poi resta in background.​

Dove cercare il loader nel sistema

• Elenco app e permessi speciali
  • Vai in Impostazioni → App → (Tutte le app) e ordina per “Più recenti”: il loader è quasi sempre un’app installata poco prima che iniziassero i problemi o subito dopo aver cliccato un link bancario sospetto.​
  • Controlla in: Impostazioni → Accessibilità, “Mostra sopra altre app”, “Amministratori dispositivo”, “Installazione app sconosciute”: se trovi una finta app bancaria/di sicurezza lì dentro, è un candidato loader.​
• Controllo delle origini sconosciute
  • In Impostazioni → Sicurezza → Installazione app sconosciute, verifica se browser, app di messaggistica o file manager hanno il permesso di installare APK: se sì, guarda quali app hanno installato qualcosa di recente.​
  • Qualsiasi “Security Key/Banking/OTP” comparsa subito dopo una campagna SMS o email è sospetta.​

Come disinstallare in sicurezza il loader

1. Riavvio in Modalità sicura
   • Tieni premuto il tasto di accensione → tocca “Spegni” e tieni premuto → scegli “Modalità sicura” per riavviare: così i processi terzi (incluso il loader) non partono.​
2. Revoca permessi critici
   • In Modalità normale o sicura, vai in:
     • Impostazioni → Accessibilità → disattiva l’accessibilità per l’app sospetta.​
     • Impostazioni → App → [app sospetta] → Avanzate → “Mostra sopra altre app” → disattiva.​
     • Impostazioni → Sicurezza → Amministratori dispositivo → togli il flag all’app se compare lì.​
3. Disinstallazione dell’app loader
   • Impostazioni → App → seleziona l’app fasulla (es. “Klucz bezpieczeństwa mBank” o altra “Secure banking/Key”) → Disinstalla.​
   • Se il tasto “Disinstalla” è grigio, significa che è ancora amministratore dispositivo: rimuovi prima quel ruolo come sopra e riprova.​
4. Scansione di conferma
   • Esegui una scansione con Google Play Protect e con un antimalware affidabile (Bitdefender, Malwarebytes, ecc.) per individuare eventuali droppers residui o componenti aggiuntivi.​

Se mi dici nei commenti:

• da dove hai scaricato l’app sospetta (link SMS, sito banca fake, APK da PC, store alternativo)
• e che nome/icone vedi tra le ultime app installate,
  posso aiutarti a identificare molto precisamente quale sia il loader da togliere sul tuo specifico Android.

＼ Get the latest news ／