Cât de riscant a devenit să ai un telefon cu Android în 2025. Toate infecțiile la care te expui, riscurile

Malware Android tot mai periculos: FvncBot, SeedSnatcher și ClayRat evoluează și devin instrumente avansate de furt de date

Lumea securității cibernetice se confruntă cu o nouă generație de amenințări extrem de sofisticate, odată cu apariția malware-urilor Android FvncBot și SeedSnatcher, precum și cu detectarea unei versiuni semnificativ îmbunătățite a cunoscutului ClayRat. Cercetători de la Intel 471, CYFIRMA și Zimperium au analizat aceste campanii și au constatat că noile variante sunt construite pentru atacuri complexe, capabile să fure date sensibile, să compromită conturi și chiar să preia controlul total al dispozitivelor infectate. Evoluția acestor programe malițioase marchează o etapă îngrijorătoare în peisajul amenințărilor mobile, mai ales pentru utilizatorii care descarcă aplicații din surse nesigure sau cad pradă mesajelor de tip phishing.

Atacatorii au perfecționat metodele prin care pot ocoli restricțiile de securitate ale Android, exploatând, în special, accesul la serviciile de accesibilitate. Aceste funcții, create pentru a ajuta utilizatorii cu nevoi speciale, devin instrumente puternice în mâna infractorilor: permit keylogging, suprapunerea unor ferestre false peste aplicații legitime, control de la distanță și extragerea oricărui tip de informație. Noile malware-uri nu doar fură date, ci pot manipula interfața telefonului în timp real, fără ca victima să își dea seama.

FvncBot: un troian bancar construit de la zero, cu funcții avansate de control și exfiltrare

Printre cele mai îngrijorătoare descoperiri se află FvncBot, un malware complet nou, scris de la zero, care se prezintă ca o aplicație de securitate a băncii mBank și vizează utilizatorii din Polonia. Spre deosebire de alte troiene bancare precum ERMAC, FvncBot nu folosește cod reciclat. Este un proiect original, conceput pentru atacuri sofisticate asupra conturilor bancare și datelor personale.

Troianul își maschează intențiile printr-o aplicație dropper care se folosește de un serviciu de criptare numit apk0day pentru a nu fi detectată de soluțiile antivirus. După instalare, aplicația falsă pretinde că are nevoie de un „component Google Play” pentru stabilitate, însă în realitate acesta este momentul declanșării infectării. Folosind un mecanism care exploatează dispozitivele cu Android 13 sau mai nou, dropper-ul reușește să ocolească limitările impuse asupra accesului la serviciile de accesibilitate.

Horoscop zilnic 11 decembrie 2025. Zodia care va primi vești neașteptate și ar putea fi pusă în fața unor decizii importante

Crăciun cu Ramon, filmul care face furori în această lună, îți poate aduce și premii. Iată cum!

Odată activ, FvncBot poate:

– controla dispozitivul prin WebSocket, efectuând gesturi precum swipe, tap sau scroll;
– înregistra toate acțiunile efectuate de victimă în aplicații sensibile;
– extrage lista de aplicații instalate, informații despre device și configurațiile botului;
– afișa suprapuneri peste aplicații bancare pentru a colecta date confidențiale;
– transmite datele furate către un server opac, asociat unui domeniu dedicat;
– folosi MediaProjection pentru a transmite în timp real ecranul dispozitivului;
– analiza structura vizuală a ecranului chiar și în aplicații care blochează capturile de ecran.

Malware-ul este încă într-o fază incipientă (versiunea 1.0-P), ceea ce sugerează că, în viitor, capabilitățile sale se vor extinde. Deși momentan este configurat pentru Polonia, cercetătorii avertizează că atacatorii pot schimba rapid țintele și pot adapta aplicația pentru alte regiuni sau instituții bancare.

SeedSnatcher: un hoț de criptomonede distribuit prin Telegram, cu tehnici avansate de evitare a detecției

Al doilea malware analizat, SeedSnatcher, țintește un alt segment vulnerabil: utilizatorii de criptomonede. Distribuit prin Telegram sub denumirea „Coin”, acest troian este proiectat pentru a fura seed phrase-uri — datele cheie care permit accesul la portofelele crypto. Atacatorii pot astfel să preia controlul activelor digitale în câteva secunde.

SeedSnatcher interceptează și mesajele SMS, ceea ce îi permite să fure coduri 2FA necesare pentru compromiterea conturilor online. În plus, malware-ul extrage contacte, fișiere, jurnale de apeluri și alte informații valoroase, folosind ecrane false pentru phishing afișate peste aplicații autentice.

Cercetările indică faptul că operatorii SeedSnatcher sunt, probabil, vorbitori de chineză, pe baza instrucțiunilor distribuite în grupuri de pe Telegram și a panoului de control utilizat.

Tehnic, malware-ul este remarcabil prin:

– încărcarea dinamică a claselor pentru a evita analiza statică;
– injectarea discretă a conținutului în WebView;
– utilizarea unor instrucțiuni numerice pentru comunicarea cu serverul de control;
– solicitarea inițială a unor permisiuni minime, urmate de escaladări succesive.

SeedSnatcher este un exemplu clar al modului în care infractorii cibernetici folosesc ecosistemul crypto pentru a atrage victime și pentru a monetiza rapid datele furate.

ClayRat revine într-o versiune mult mai agresivă, capabilă de control total asupra dispozitivului

Pe lângă noile descoperiri, experții Zimperium au identificat o versiune actualizată a malware-ului ClayRat, care a devenit semnificativ mai periculoasă. Noua variantă abuzează puternic serviciile de accesibilitate și permisiunile SMS implicite, transformând telefonul într-un dispozitiv complet controlabil de la distanță.

ClayRat poate:

– înregistra tastele, ecranul și orice interacțiune în timp real;
– afișa suprapuneri false, inclusiv ecrane de tip „system update”, pentru a ascunde activitatea malițioasă;
– genera notificări interactive false pentru a fura răspunsurile utilizatorilor;
– debloca automat PIN-ul sau parola dispozitivului;
– menține acces persistent chiar și după încercări ale victimei de a opri sau reseta telefonul.

Distribuirea sa se face prin 25 de domenii de phishing care imită servicii populare, inclusiv YouTube, oferind opțiuni false precum „versiunea Pro cu 4K și redare în fundal”. Alte dropper-e ClayRat imită aplicații de taxi și parcări din Rusia.

Pericolul major al noii versiuni este că victima nu mai poate opri manual aplicația, nu o poate dezinstala și nici nu își poate proteja datele odată ce accesul a fost compromis.

Noile malware-uri FvncBot, SeedSnatcher și ClayRat reprezintă un salt tehnologic alarmant în domeniul amenințărilor mobile. Ele demonstrează cât de fragil poate deveni un sistem atunci când funcțiile destinate accesibilității sunt exploatate și cât de important este ca utilizatorii să rămână vigilenți în fața aplicațiilor suspecte, mesajelor înșelătoare și ofertelor prea bune pentru a fi adevărate.