Come rimuovere il trojan bancario Datzbro dal tuo dispositivo Android

Che tipo di malware è Datzbro?

Datzbro è un malware classificato come trojan bancario. Questo programma dannoso è progettato per infettare i dispositivi Android. Ha molte funzionalità dannose, tra cui quelle associate all'accesso/controllo remoto, allo spionaggio e alla frode finanziaria.

Il codice di Datzbro suggerisce che i suoi sviluppatori fossero di lingua cinese. Inizialmente, questo trojan era utilizzato per colpire gli utenti cinesi. Si ritiene che questo malware sia stato divulgato e che ora sia utilizzato da diversi criminali informatici e gruppi di autori di minacce. L'ultima campagna di Datzbro è attiva almeno dalla fine dell'estate del 2025 e prende di mira gli utenti senior tramite falsi gruppi Facebook.

Panoramica sul malware Datzbro

Datzbro è un trojan versatile sviluppato con particolare attenzione alle applicazioni relative alle operazioni bancarie e alle risorse digitali (come i portafogli di criptovalute). Questo malware si avvale dell'abuso dei servizi di accessibilità Android per svolgere molte delle sue attività dannose.

I servizi di accessibilità offrono un ulteriore aiuto nell'interazione con il dispositivo agli utenti che ne hanno bisogno. Le loro capacità sono ampie: ad esempio, leggere lo schermo, interagire con il touchscreen, simulare la tastiera, ecc. Pertanto, il malware che abusa di questi servizi accede a tutte le loro funzionalità.

Datzbro non è solo un trojan bancario; ma presenta anche somiglianze con i trojan di accesso remoto (RAT) e gli spyware. Questo programma può abilitare l'accesso remoto e il controllo sui dispositivi compromessi. Utilizza sovrapposizioni di schermate scure per nascondere le sue attività. La trasparenza dello schermo e la visualizzazione di eventuali elementi su di esso possono essere personalizzate. La sovrapposizione può contenere testo o altri elementi grafici che imitano processi legittimi (ad esempio, aggiornamenti, schermate di avvio, ecc.).

Datzbro può trasmettere in streaming lo schermo della vittima, ma se si verifica un problema con questa funzione, l'interfaccia del dispositivo infetto ricreata sul lato dell'aggressore aiuta a tracciare/eseguire attività remote. A differenza di molti trojan bancari, questo programma non utilizza phishing (ad esempio, schermate false che si sovrappongono ad app autentiche imitando pagine di accesso, pagamento e simili).

Oltre allo streaming/registrazione dello schermo, le funzionalità simili a quelle di uno spyware di Datzbro includono la registrazione audio tramite il microfono del dispositivo, l'acquisizione di istantanee e la registrazione tramite le fotocamere del dispositivo, il passaggio dalla fotocamera anteriore a quella posteriore e il keylogging (registrazione dei tasti digitati).

Il trojan raccoglie dati approfonditi, come dettagli rilevanti sul dispositivo, elenco delle app installate, cartelle/file, album/foto, elenco dei contatti e messaggi di testo. Datzbro ha anche funzionalità di gestione: può eseguire e rimuovere applicazioni; leggere, creare, rinominare ed eliminare file; esfiltrare (scaricare) ed eliminare foto; aggiungere, modificare ed eliminare contatti; filtrare, eliminare e inviare SMS (quest'ultima funzione potrebbe essere utilizzata per scopi di malware Toll Fraud).

Questo malware non si limita a raccogliere passivamente informazioni sensibili tramite keylogging, ma può anche visualizzare messaggi che richiedono alle vittime di fornire dati specifici. Datzbro prende di mira le credenziali di accesso al dispositivo (ad esempio, sequenza di sblocco/PIN/password) , Alipay e WeChat. Cerca pacchetti contenenti determinate parole chiave, ad esempio “banca”, “finanza”, “pagamento”, “portafoglio”, ecc. Il programma tiene traccia anche dei casi in cui incontra i termini ‘password’, “PIN/codice di verifica” e " codice/verifica" in inglese e cinese.

Va detto che gli sviluppatori di malware/gli aggressori spesso migliorano i loro software e le loro metodologie. Pertanto, le possibili future iterazioni di Datzbro potrebbero avere un elenco di obiettivi diverso o funzionalità semplificate/aggiuntive.

In sintesi, la presenza di software dannosi come Datzbro sui dispositivi può causare gravi problemi di privacy, perdite finanziarie e furti di identità.

Esempi di trojan bancari specifici per Android

RedHook, PhantomCard e DoubleTrouble sono solo alcuni dei nostri ultimi articoli sui trojan bancari. Non è raro che i malware a scopo finanziario possiedano una varietà di funzionalità che ne consentono l'utilizzo in diversi contesti.

Ricordate che, indipendentemente dal modo in cui opera il malware, la sua presenza su un sistema minaccia l'integrità del dispositivo e la sicurezza dell'utente. Pertanto, tutte le minacce devono essere rimosse immediatamente dopo il rilevamento.

Come ha fatto Datzbro a infiltrarsi nel mio dispositivo?

Le prove suggeriscono che inizialmente Datzbro fosse utilizzato da più autori di minacce per colpire gli utenti di lingua cinese. La campagna rilevata nell'agosto 2025 comprendeva sofisticate truffe di ingegneria sociale che prendevano di mira utenti in Australia, Canada, Malesia, Singapore, Sudafrica e Regno Unito. Si ipotizza che dietro queste truffe ci sia la stessa entità, date le loro numerose somiglianze.

Per ampliare questa attività, le campagne rivolte agli australiani sono state facilitate tramite falsi gruppi sulla piattaforma di social networking Facebook. Questi gruppi Facebook erano rivolti agli anziani e promuovevano ”viaggi attivi per anziani", incontri, attività, balli e simili. I contenuti utilizzati e pubblicati dai gruppi utilizzavano IA generativa.

Gli utenti di Facebook interessati a questi gruppi venivano contattati direttamente dai criminali informatici (tramite Messenger, WhatsApp, ecc.) e sono stati esortati a scaricare/installare un'app della comunità. I link condivisi dai criminali portavano a siti web ingannevoli che promuovevano l'applicazione dannosa come un'app per la registrazione e il monitoraggio di eventi per anziani, per contattare altri membri, ecc. Tuttavia, in alcuni casi le vittime venivano prima indotte a visitare siti di phishing che miravano a ottenere i dati delle carte di credito/debito con il pretesto di raccogliere le quote di iscrizione.

La falsa opzione “Google Play” sulle pagine web dannose ha portato le vittime a infettare i propri dispositivi con Datzbro. In alcuni casi, questo trojan si è infiltrato nei dispositivi attraverso un malware dropper in grado di aggirare le misure di sicurezza implementate in Android 13 e versioni successive, prevalentemente tramite Zombinder.

Al momento della stesura di questo articolo, l'opzione falsa “App Store” di Apple non ha portato a un download o a un reindirizzamento. Tuttavia, è bene tenere presente che ciò potrebbe essere corretto (ad esempio, scaricare un malware compatibile con iOS, reindirizzare a una pagina di phishing, ecc.).

Come accennato in precedenza, l'applicazione C&C (Command and Control) e il builder di Datzbro sono stati divulgati, il che significa che sono accessibili a vari criminali informatici non affiliati. Pertanto, è probabile che questo malware si diffonda utilizzando tattiche e metodi diversi.

In generale, il software dannoso viene distribuito tramite fonti di download inaffidabili (ad esempio, siti web di freeware e file hosting gratuiti, reti di condivisione P2P, app store di terze parti, ecc.), download drive-by (furtivi/ingannevoli), malvertising, truffe online, allegati/link dannosi nelle e-mail di spam (ad esempio, e-mail, DM/PM, SMS, ecc.), contenuti piratati, strumenti di attivazione illegali (“cracking”) e aggiornamenti falsi.

Alcuni programmi dannosi possono persino diffondersi autonomamente attraverso reti locali e dispositivi di archiviazione rimovibili (ad esempio, dischi rigidi esterni, unità flash USB, ecc.).

Come evitare l'installazione di malware?

La cautela è fondamentale per garantire la sicurezza dei dispositivi e degli utenti. Pertanto, prima di scaricare/acquistare un software, è sempre bene informarsi leggendo i termini e le recensioni degli utenti/esperti, esaminando le autorizzazioni richieste e verificando la legittimità dello sviluppatore. Scaricare solo da canali ufficiali e affidabili.

Attivare e aggiornare i programmi utilizzando funzioni/strumenti legittimi, poiché quelli acquisiti da terze parti potrebbero contenere malware. Prestare attenzione durante la navigazione, poiché Internet è pieno di contenuti ingannevoli e dannosi. Prestare attenzione alle e-mail in arrivo e ad altri messaggi; non aprire allegati o link presenti in comunicazioni sospette/irrilevanti.

È essenziale avere un antivirus affidabile installato e aggiornato. Il software di sicurezza deve essere utilizzato per eseguire scansioni regolari del sistema e rimuovere le minacce e i problemi rilevati.

Gruppi Facebook falsi che prendono di mira gli utenti anziani in Australia (fonte immagine – ThreatFabric):

Siti web dannosi che diffondono Datzbro sotto le spoglie di app dedicate agli anziani (fonte immagine – ThreatFabric):

Menu rapido:

• Introduzione
• Come eliminare la cronologia di navigazione dal browser Chrome?
• Come disattivare le notifiche del browser nel browser web Chrome?
• Come resettare il browser Chrome?
• Come cancellare la cronologia di navigazione dal browser web Firefox?
• Come disattivare le notifiche del browser Firefox?
• Come resettare il browser web Firefox?
• Come disinstallare le applicazioni potenzialmente indesiderate e/o dannose?
• Come avviare il dispositivo Android in "modalità provvisoria"?
• Come controllare l'utilizzo della batteria di varie applicazioni?
• Come controllare l'utilizzo dei dati delle varie applicazioni?
• Come installare gli ultimi aggiornamenti software?
• Come ripristinare lo stato di default del sistema?
• Come disattivare le applicazioni con privilegi di amministratore?

Eliminare la cronologia di navigazione dal browser Chrome:

Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Cronologia" nel menu a discesa aperto.

Toccare "Cancella dati di navigazione", selezionare la scheda "AVANZATE", scegliere l'intervallo di tempo e i tipi di dati che si desidera eliminare e toccare "Cancella dati".

[Torna al Sommario]

Disattivare le notifiche del browser nel browser Chrome:

Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Impostazioni" nel menu a discesa aperto.

Scorrere verso il basso fino a visualizzare l'opzione "Impostazioni del sito" e toccarla. Scorrete verso il basso fino a visualizzare l'opzione "Notifiche" e toccatela.

Individuate i siti Web che forniscono notifiche del browser, toccateli e fate clic su "Cancella e ripristina". In questo modo verranno rimosse le autorizzazioni concesse a questi siti web per l'invio di notifiche. Tuttavia, una volta visitato nuovamente lo stesso sito, questo potrebbe richiedere nuovamente un'autorizzazione. Potete scegliere se concedere o meno questi permessi (se scegliete di rifiutarli, il sito passerà alla sezione "Bloccato" e non vi chiederà più l'autorizzazione).

[Torna al Sommario]

Reimpostare il browser Chrome:

Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.

Scorrere verso il basso fino a trovare l'applicazione "Chrome", selezionarla e toccare l'opzione "Archiviazione".

Toccate "GESTIONE MEMORIZZAZIONE", quindi "CANCELLA TUTTI I DATI" e confermate l'operazione toccando "OK". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente il login in tutti i siti web.

[Torna al Sommario]

Cancellare la cronologia di navigazione dal browser Firefox:

Toccare il pulsante "Menu" (tre puntini nell'angolo superiore destro dello schermo) e selezionare "Cronologia" nel menu a discesa aperto.

Scorrere verso il basso fino a visualizzare "Cancella dati privati" e toccarlo. Selezionate i tipi di dati che desiderate rimuovere e toccate "Cancella dati".

[Torna al Sommario]

Disattivare le notifiche del browser nel browser Firefox:

Visitare il sito web che invia le notifiche del browser, toccare l'icona visualizzata a sinistra della barra degli URL (l'icona non sarà necessariamente un "lucchetto") e selezionare "Modifica impostazioni del sito".

Nel pop-up aperto, selezionare l'opzione "Notifiche" e toccare "CANCELLA".

[Torna al Sommario]

Reimpostare il browser web Firefox:

Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.

Scorrere verso il basso fino a trovare l'applicazione "Firefox", selezionarla e toccare l'opzione "Memoria".

Toccare "CANCELLA DATI" e confermare l'azione toccando "CANCELLA". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente il login in tutti i siti web.

[Torna al Sommario]

Disinstallare le applicazioni potenzialmente indesiderate e/o dannose:

Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.

Scorrere fino a individuare un'applicazione potenzialmente indesiderata e/o dannosa, selezionarla e toccare "Disinstalla". Se, per qualche motivo, non si riesce a rimuovere l'applicazione selezionata (ad esempio, viene visualizzato un messaggio di errore), si dovrebbe provare a utilizzare la "Modalità provvisoria".

[Torna al Sommario]

Avviare il dispositivo Android in "modalità provvisoria":

La "modalità provvisoria" del sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'uso di questa modalità è un buon modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere le applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").

Premete il pulsante "Power" e tenetelo premuto finché non appare la schermata "Power off". Toccare l'icona "Spegnimento" e tenerla premuta. Dopo qualche secondo apparirà l'opzione "Modalità provvisoria" e sarà possibile eseguirla riavviando il dispositivo.

[Torna al Sommario]

Controllare l'utilizzo della batteria delle varie applicazioni:

Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Manutenzione del dispositivo" e toccarlo.

Toccare "Batteria" e controllare l'utilizzo di ogni applicazione. Le applicazioni legittime/genuino sono progettate per utilizzare il minor consumo possibile di energia, al fine di fornire la migliore esperienza utente e risparmiare energia. Pertanto, un utilizzo elevato della batteria può indicare che l'applicazione è dannosa.

[Torna al Sommario]

Controllare l'utilizzo dei dati delle varie applicazioni:

Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Connessioni" e toccarlo.

Scorrere fino a visualizzare "Utilizzo dati" e selezionare questa opzione. Come per la batteria, le applicazioni legittime/genuini sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un utilizzo massiccio di dati può indicare la presenza di un'applicazione dannosa. Si noti che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso alla rete wireless. Per questo motivo, è necessario controllare l'utilizzo dei dati sia da rete mobile che da rete Wi-Fi.

Se trovate un'applicazione che consuma molti dati anche se non la usate mai, vi consigliamo vivamente di disinstallarla il prima possibile.

[Torna al Sommario]

Installare gli ultimi aggiornamenti del software:

Mantenere il software aggiornato è una buona pratica quando si tratta di sicurezza del dispositivo. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per risolvere errori e bug che possono essere sfruttati dai criminali informatici. Un sistema non aggiornato è molto più vulnerabile, per questo motivo bisogna sempre assicurarsi che il software del dispositivo sia aggiornato.

Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Aggiornamento software" e toccarlo.

Toccare "Scarica gli aggiornamenti manualmente" e verificare se sono disponibili aggiornamenti. In caso affermativo, installateli immediatamente. Si consiglia inoltre di attivare l'opzione "Scarica automaticamente gli aggiornamenti", che consentirà al sistema di notificare il rilascio di un aggiornamento e/o di installarlo automaticamente.

[Torna al Sommario]

Ripristinare lo stato di default del sistema:

L'esecuzione di un "Reset di fabbrica" è un buon modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni predefinite del sistema e pulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno eliminati, comprese le foto, i file video/audio, i numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), i messaggi SMS e così via. In altre parole, il dispositivo verrà riportato allo stato primordiale.

È anche possibile ripristinare le impostazioni di base del sistema e/o semplicemente le impostazioni di rete.

Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Informazioni sul telefono" e toccarlo.

Scorrete verso il basso fino a visualizzare "Ripristino" e toccatelo. Ora scegliete l'azione che desiderate eseguire:
"Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema e cancella completamente tutti i dati memorizzati;

[Torna al Sommario]

Disattivate le applicazioni che hanno privilegi di amministratore:

Se un'applicazione dannosa ottiene i privilegi di amministratore, può danneggiare seriamente il sistema. Per mantenere il dispositivo il più sicuro possibile, si dovrebbe sempre controllare quali applicazioni hanno tali privilegi e disabilitare quelle che non dovrebbero.

Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Schermata di blocco e sicurezza" e toccarlo.

Scorrere verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccarlo e quindi toccare "Applicazioni di amministrazione del dispositivo".

Identificare le applicazioni che non devono avere privilegi di amministratore, toccarle e quindi toccare "DISATTIVA".

Domande frequenti (FAQ)

Il mio dispositivo Android è stato infettato dal malware Datzbro, devo formattare il mio dispositivo di archiviazione per eliminarlo?

La rimozione del malware raramente richiede misure così drastiche.

Quali sono i problemi più gravi che il malware Datzbro può causare?

I pericoli derivanti da un'infezione dipendono dalle capacità del programma dannoso e dal modus operandi dei criminali informatici. Datzbro è un programma multifunzionale che prende di mira specificamente i dati relativi alle operazioni bancarie. Infezioni di questo tipo possono portare a gravi problemi di privacy, perdite finanziarie e furti di identità.

Qual è lo scopo del malware Datzbro?

Il profitto è la motivazione più comune alla base degli attacchi malware e, sulla base delle funzionalità di Datzbro, non fa eccezione. Tuttavia, il malware può anche essere utilizzato per divertire gli aggressori o per realizzare i loro rancori personali, interrompere processi (ad esempio siti, servizi, aziende, ecc.), impegnarsi in hacktivismo e lanciare attacchi motivati da ragioni politiche/geopolitiche.

Come ha fatto il malware Datzbro a infiltrarsi nel mio dispositivo Android?

Datzbro si è diffuso attraverso siti dannosi promossi da falsi gruppi Facebook che utilizzavano esche incentrate su attività ed eventi per anziani. Non sono da escludere altre tecniche di distribuzione.

Il malware si diffonde più comunemente tramite download drive-by, fonti di download dubbie (ad esempio, siti di freeware e di hosting di file gratuiti, reti di condivisione P2P, app store di terze parti, ecc.), malvertising, truffe online, spam, programmi/media piratati, strumenti di attivazione software illegali (“crack”) e aggiornamenti falsi. Inoltre, alcuni programmi dannosi possono auto-proliferare attraverso reti locali e dispositivi di archiviazione rimovibili.

Combo Cleaner mi proteggerà dal malware?

Combo Cleaner è in grado di rilevare ed eliminare praticamente tutte le infezioni da malware conosciute. Ricordate che è fondamentale eseguire una scansione completa del sistema, poiché i software dannosi di fascia alta tendono a nascondersi in profondità nei sistemi.