Nel contesto attuale della sicurezza informatica mobile, emergono due nuove minacce particolarmente insidiose per gli utenti Android.
Questi malware si distinguono per la loro capacità di mascherarsi da applicazioni legittime, aggredendo in modo sofisticato app bancarie e portafogli digitali, con un impatto potenzialmente drammatico su milioni di dispositivi in tutto il mondo.
Analizziamo le caratteristiche tecniche, i metodi di diffusione e le strategie di difesa consigliate dagli esperti del settore.
BankBot-YNRK: il trojan che si spaccia per app governativa e colpisce wallet crypto e app bancarie
Secondo le ultime indagini condotte da specialisti di CYFIRMA e altre realtà di cybersecurity, BankBot-YNRK si presenta principalmente tramite un’applicazione fasulla chiamata IdentitasKependudukanDigital.apk, un nome scelto per ingannare gli utenti fingendo di essere un servizio ufficiale del governo indonesiano dedicato all’identità digitale. Il malware colpisce prevalentemente dispositivi con sistema operativo Android 13 e versioni precedenti, sfruttando vulnerabilità specifiche di questi ambienti per infiltrarsi silenziosamente.
Una volta installato, il trojan disabilita le notifiche e acquisisce una vasta gamma di dati sensibili: informazioni personali, dettagli di sistema, messaggi, contatti, posizione GPS, contenuti degli appunti e perfino chiamate in corso. Questi dati vengono trasmessi a server remoti controllati dagli hacker, grazie a permessi di accessibilità concessi automaticamente dall’app malevola, che garantiscono un monitoraggio continuo e praticamente invisibile dell’attività dell’utente.
BankBot-YNRK è particolarmente pericoloso anche per la sua capacità di persistere dopo i riavvii del dispositivo, utilizzando il servizio Android JobScheduler per riattivarsi autonomamente. Il malware è in grado di riconoscere e attaccare oltre 60 applicazioni bancarie e siti web finanziari, includendo anche wallet di criptovalute come MetaMask, Trust Wallet, Exodus e Coinomi. Attraverso sofisticate tecniche di automazione dell’interfaccia utente e di offuscamento del codice, riesce a sottrarre seed phrase e chiavi private, compromettendo così gli asset digitali degli utenti.
Gli analisti hanno individuato che il trojan sfrutta una struttura modulare con comunicazioni cifrate RSA-2048 e AES-128-CBC, e utilizza tecniche avanzate come XOR e hashing custom per eludere i sistemi di rilevamento. Inoltre, manipola l’interfaccia con overlay grafici realistici per ingannare l’utente, simulando schermate di login bancario o messaggi di verifica in lingua indonesiana.
La seconda minaccia emergente, DeliveryRAT, si diffonde soprattutto in Russia, ma anche in Brasile, Polonia, Repubblica Ceca e Slovacchia, con potenziale espansione in altri mercati. Gli esperti della società F6 e del portale RuStore hanno recentemente bloccato ben 604 domini collegati a questa infrastruttura criminale.
DeliveryRAT si presenta tramite app false di food delivery, tracciamento pacchi, servizi bancari e marketplace, spesso promosse attraverso gruppi Telegram e messaggistica istantanea. Il malware è offerto come “malware-as-a-service” tramite un bot Telegram denominato Bonvi Team, che consente agli aggressori di ottenere gratuitamente un campione per infettare i dispositivi delle vittime.
Gli attacchi iniziano con campagne ingannevoli che spingono gli utenti a scaricare fake app per lavoro remoto o monitoraggio ordini, richiedendo permessi di notifica e batteria per garantire operatività in background. DeliveryRAT è in grado di rubare SMS, registri chiamate e dati personali, nascondendo la propria icona per evitare rilevamenti. Alcune versioni avanzate possono persino lanciare attacchi DDoS mirati, trasformando i dispositivi infetti in nodi di una botnet malevola.
Le modalità di infezione sono ingegnose: falsi annunci di vendita o lavoro da remoto contattano le vittime via Telegram o WhatsApp, raccolgono dati personali e inducono all’installazione dell’app malevola sotto la scusa di servizi di tracciamento o offerte speciali.