Malware Android în evoluție: FvncBot, SeedSnatcher și ClayRat devin instrumente avansate de furt de date

Malware Android se intensifică în complexitate, iar cercetătorii de la Intel 471, CYFIRMA și Zimperium au identificat trei variante noi – FvncBot, SeedSnatcher și o versiune îmbunătățită a ClayRat. Aceste programe malițioase exploatează serviciile de accesibilitate și pot fura informații sensibile, compromițând atât conturile bancare, cât și portofelele cripto. Utilizatorii care descarcă aplicații din surse nesigure sau răspund la mesaje de phishing sunt în pericol.

FvncBot – troian bancar nou, conceput de la zero

FvncBot reprezintă un malware Android dedicat mediului bancar, orientat spre utilizatorii din Polonia, dar cu potențial de extindere. Proiectul original evită codul reciclat și folosește criptarea apk0day pentru a rămâne nedetectat. Prin WebSocket, FvncBot poate controla gesturi precum swipe și tap, înregistra acțiunile în aplicațiile sensibile și transmite datele către servere opace.

– Control prin WebSocket (swipe, tap, scroll)
– Suprapuneri false peste aplicații bancare pentru colectarea datelor
– MediaProjection pentru captură în timp real a ecranului
– Extragere listă de aplicații, informații despre dispozitiv și configurări

Această variantă 1.0‑P indică o fază incipientă, sugerând posibilitatea extinderii funcționalităților și a țintelor geografice.

SeedSnatcher – hoț de criptomonede distribuit prin Telegram

SeedSnatcher este un alt malware Android, specializat în furtul de seed‑phrase‑uri și a codurilor 2FA. Distribuit pe platforma Telegram sub denumirea „Coin”, atacatorii vizează utilizatorii de criptomonede, colectând informații prin interceptarea SMS‑urilor și a mesajelor. SeedSnatcher încarcă dinamic clase pentru a evita analiza statică și injectează conținut în WebView cu comunicație numerică criptată.

– Interceptare SMS pentru coduri 2FA
– Colectare contacte, fișiere, jurnale de apeluri
– Suprapuneri false pentru phishing în timp real
– Escaladare de permisiuni după instalare

Operatorii par a fi vorbitori de chineză, iar modul de distribuție prin grupuri de Telegram accentuează riscul pentru utilizatorii de portofele digitale.

ClayRat – versiune actualizată cu control total asupra dispozitivului

ClayRat a reapărut în forma unei variante mult mai agresive de malware Android, exploatând în mod extensiv serviciile de accesibilitate și permisiunile SMS. Distribuirea se face prin 25 de domenii de phishing ce imită servicii populare, inclusiv YouTube și aplicații de taxi din Rusia. Noua variantă permite acces persistent, deblocarea PIN‑ului și afișarea de ecrane false pentru a masca activitatea malițioasă.

– Înregistrare taste, ecran și interacțiuni în timp real
– Suprapuneri de tip „system update” și notificări false
– Deblocare automată a PIN‑ului sau a parolei dispozitivului
– Persistență chiar și după resetarea telefonului

Victimele nu pot opri manual aplicația și nici nu pot dezinstala componenta infectată, ceea ce amplifică riscul de compromitere pe termen lung.

Fiecare dintre aceste malware Android – FvncBot, SeedSnatcher și ClayRat – demonstrează cum accesul la serviciile de accesibilitate poate fi transformat în vector de atac sofisticat. Monitorizarea continuă a evoluțiilor de securitate și informarea utilizatorilor despre sursele de aplicații sigure rămân esențiale pentru reducerea riscului.