Come rimuovere SeedSnatcher dai dispositivi infetti

Che tipo di malware è SeedSnatcher?

SeedSnatcher è un malware Android camuffato da app di criptovaluta chiamata Coin (questa app funziona come un caricatore). Il malware viene spesso distribuito tramite i canali Telegram. Inizia con richieste di autorizzazioni di base prima di ottenere l'accesso a file, contatti, registri delle chiamate e altri dati privati. I criminali informatici lo utilizzano principalmente per rubare i dettagli dei portafogli di criptovaluta e altri dati sensibili.

SeedSnatcher in dettaglio

Una volta all'interno, il malware inizia a raccogliere informazioni sul dispositivo, come ID di sistema, impostazioni della lingua, dimensioni dello schermo, modello hardware, versione Android e indirizzo IP pubblico. Verifica inoltre quali app possono avviarsi automaticamente, con quale frequenza vengono utilizzate e se hanno accesso a dati sensibili, come memoria, contatti, SMS, registri delle chiamate e statistiche di utilizzo.

SeedSnatcher è progettato per funzionare sulle versioni Android dalla 6 alla 13, ma le sue funzionalità di furto possono funzionare anche sulle versioni più recenti. Richiede varie autorizzazioni per accedere a un dispositivo e le utilizza per scopi dannosi. Se autorizzato, SeedSnatcher può leggere, modificare ed eliminare i file memorizzati sul dispositivo, inclusi documenti e foto, consentendo agli aggressori di rubare dati sensibili.

Inoltre, il malware può accedere a contatti, registri delle chiamate e messaggi SMS, inclusi OTP e codici 2FA, che possono essere utilizzati per compromettere conti bancari o account di criptovalute. Può anche leggere e modificare le impostazioni di sistema, consentendogli di compromettere la sicurezza o di rimanere inosservato sul dispositivo.

Inoltre, SeedSnatcher può monitorare quali app vengono aperte dalla vittima e utilizzare queste informazioni per rilevare quando sono attive app bancarie o di criptovalute. Ciò consente al malware di rubare le credenziali e sovrapporre schermate false alle app legittime. Ciò comporta la visualizzazione di sovrapposizioni false che imitano le schermate dei portafogli di criptovalute e la cattura delle frasi di recupero dei portafogli.

È noto che il malware è in grado di visualizzare pagine false di Binance Chain Wallet, Coinbase wallet, imToken, MetaMask, OKX Wallet, TokenPocket, TronGlobal, TronLink e Trust Wallet per rubare informazioni. SeedSnatcher controlla ogni parola della frase seed digitata dalla vittima per assicurarsi che sia una frase di recupero valida.

Questo impedisce errori e garantisce che i criminali informatici ottengano una frase seed funzionante che possono utilizzare per dirottare un portafoglio crittografico. Inoltre, SeedSnatcher può accedere alle informazioni dell'account memorizzate, inclusi account e-mail o social media, e interagire con i dati associati a tali account.

Inoltre, il malware può indurre il dispositivo a richiedere all'utente di disinstallare una specifica app scelta dai criminali informatici, consentendo loro di rimuovere app di sicurezza o di altro tipo. Altre funzionalità includono l'invio segreto di messaggi di testo creati dai criminali informatici e la scansione di tutte le foto nella galleria del dispositivo. Identifica gli screenshot come importanti, consentendo agli autori delle minacce di rubarli rapidamente.

Conclusione

SeedSnatcher è un malware Android altamente invasivo che raccoglie dati dettagliati sul dispositivo, abusa delle autorizzazioni e ruba informazioni sensibili, in particolare le frasi di recupero dei portafogli di criptovaluta. Può causare problemi come il dirottamento dell'account, il furto di criptovalute e di identità e altri problemi simili.

Altri esempi di malware che prendono di mira i dispositivi Android sono Albiriox, Sturnus e Landfall.

Come ha fatto SeedSnatcher a infiltrarsi nel mio dispositivo?

SeedSnatcher viene promosso attraverso i canali Telegram e altre piattaforme social, dove le vittime vengono incoraggiate a scaricare l'APK (una finta app chiamata Coin). Ogni link di download contiene un ID univoco, che consente agli aggressori di tracciare quale campagna o promotore ha portato all'installazione.

Altri possibili vettori di infezione includono false comunità legate alle criptovalute, post sui social media, messaggi diretti contenenti link APK e siti web ingannevoli o app store di terze parti (non ufficiali).

Come evitare l'installazione di malware?

Utilizza sempre siti web ufficiali o Google Play Store per scaricare le app. Leggi le recensioni prima di installare le app. Assicurati che il tuo dispositivo e le tue app siano sempre aggiornati e utilizza un'app di sicurezza affidabile per eseguire la scansione alla ricerca di minacce. Evita di aprire allegati o cliccare su link contenuti in e-mail o messaggi che non ti aspettavi o che non sono pertinenti.

Non fidarti degli annunci pubblicitari, dei link e dei pop-up presenti su siti web sospetti.

Finestra pop-up del portafoglio OKX falso visualizzata dal malware (fonte: cyfirma.com):

Modulo falso per il portafoglio di importazione presentato da SeedSnatcher (fonte: cyfirma):

Menu rapido:

• Introduzione
• Come eliminare la cronologia di navigazione dal browser Chrome?
• Come disattivare le notifiche del browser nel browser web Chrome?
• Come ripristinare il browser web Chrome?
• Come eliminare la cronologia di navigazione dal browser web Firefox?
• Come disattivare le notifiche del browser nel browser web Firefox?
• Come ripristinare il browser web Firefox?
• Come disinstallare applicazioni potenzialmente indesiderate e/o dannose?
• Come avviare il dispositivo Android in "Modalità provvisoria"?
• Come controllare l'utilizzo della batteria da parte delle varie applicazioni?
• Come controllare l'utilizzo dei dati delle varie applicazioni?
• Come installare gli ultimi aggiornamenti software?
• Come ripristinare le impostazioni predefinite del sistema?
• Come disabilitare le applicazioni che dispongono dei privilegi di amministratore?

Elimina la cronologia di navigazione dal browser Chrome:

Tocca il pulsante "Menu" (tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Cronologia" nel menu a tendina che si apre.

Tocca "Cancella dati di navigazione", seleziona la scheda "AVANZATE", scegli l'intervallo di tempo e i tipi di dati che desideri eliminare e tocca "Cancella dati".

[Torna al Sommario]

Disattiva le notifiche del browser nel browser web Chrome:

Tocca il pulsante "Menu" (tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Impostazioni" nel menu a tendina che si apre.

Scorri verso il basso fino a visualizzare l'opzione "Impostazioni sito" e toccala. Scorri verso il basso fino a visualizzare l'opzione "Notifiche" e toccala.

Trova i siti web che inviano notifiche al browser, toccali e clicca su "Cancella e ripristina". In questo modo verranno rimossi i permessi concessi a questi siti web per l'invio di notifiche. Tuttavia, quando visiterai nuovamente lo stesso sito, potrebbe chiederti nuovamente il permesso. Puoi scegliere se concedere o meno queste autorizzazioni (se scegli di rifiutare, il sito web passerà alla sezione "Bloccato" e non ti chiederà più l'autorizzazione).

[Torna al Sommario]

Reimposta il browser web Chrome:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.

Scorri verso il basso fino a trovare l'applicazione "Chrome", selezionala e tocca l'opzione "Memoria".

Tocca "GESTISCI MEMORIA", quindi "CANCELLA TUTTI I DATI" e conferma l'azione toccando "OK". Tieni presente che il ripristino del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrai inoltre effettuare nuovamente il login a tutti i siti web.

[Torna al Sommario]

Elimina la cronologia di navigazione dal browser web Firefox:

Tocca il pulsante "Menu" (tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Cronologia" nel menu a tendina che si apre.

Scorri verso il basso fino a visualizzare "Cancella dati privati" e toccalo. Seleziona i tipi di dati che desideri rimuovere e tocca "CANCELLA DATI".

[Torna al Sommario]

Disattiva le notifiche del browser nel browser web Firefox:

Visita il sito web che invia le notifiche del browser, tocca l'icona visualizzata a sinistra della barra degli indirizzi (l'icona non sarà necessariamente una "Lucchetto") e seleziona "Modifica impostazioni sito".

Nel pop-up aperto, seleziona l'opzione "Notifiche" e tocca "CANCELLA".

[Torna al Sommario]

Reimposta il browser web Firefox:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.

Scorri verso il basso fino a trovare l'applicazione "Firefox", selezionala e tocca l'opzione "Memoria".

Tocca "CANCELLA DATI" e conferma l'azione toccando "ELIMINA". Tieni presente che il ripristino del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrai inoltre effettuare nuovamente il login a tutti i siti web.

[Torna al Sommario]

Disinstallare applicazioni potenzialmente indesiderate e/o dannose:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.

Scorri verso il basso fino a visualizzare un'applicazione potenzialmente indesiderata e/o dannosa, selezionala e tocca "Disinstalla". Se, per qualche motivo, non riesci a rimuovere l'app selezionata (ad esempio, viene visualizzato un messaggio di errore), prova a utilizzare la "Modalità provvisoria".

[Torna al Sommario]

Avvia il dispositivo Android in "Modalità provvisoria":

La "Modalità provvisoria" nel sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'utilizzo di questa modalità è un ottimo modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").

Premere il pulsante "Accensione" e tenerlo premuto fino a quando non viene visualizzata la schermata "Spegnimento". Toccare l'icona "Spegnimento" e tenerla premuta. Dopo alcuni secondi apparirà l'opzione "Modalità provvisoria" che potrà essere eseguita riavviando il dispositivo.

[Torna al Sommario]

Controlla l'utilizzo della batteria delle varie applicazioni:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Manutenzione dispositivo" e toccalo.

Tocca "Batteria" e controlla l'utilizzo di ciascuna applicazione. Le applicazioni legittime/autentiche sono progettate per consumare il meno possibile energia, al fine di garantire la migliore esperienza utente e risparmiare energia. Pertanto, un elevato utilizzo della batteria potrebbe indicare che l'applicazione è dannosa.

[Torna al Sommario]

Controlla l'utilizzo dei dati delle varie applicazioni:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Connessioni" e toccalo.

Scorri verso il basso fino a visualizzare "Utilizzo dati" e seleziona questa opzione. Come per la batteria, le applicazioni legittime/autentiche sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un utilizzo eccessivo dei dati può indicare la presenza di applicazioni dannose. Tieni presente che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso a una rete wireless. Per questo motivo, è necessario controllare sia l'utilizzo dei dati mobili che quello del Wi-Fi.

Se trovi un'applicazione che utilizza molti dati anche se non la usi mai, ti consigliamo vivamente di disinstallarla il prima possibile.

[Torna al Sommario]

Installa gli ultimi aggiornamenti software:

Mantenere il software aggiornato è una buona pratica quando si tratta della sicurezza dei dispositivi. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per correggere errori e bug che potrebbero essere sfruttati dai criminali informatici. Un sistema obsoleto è molto più vulnerabile, motivo per cui è necessario assicurarsi sempre che il software del dispositivo sia aggiornato.

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Aggiornamento software" e toccalo.

Tocca "Scarica aggiornamenti manualmente" e verifica se sono disponibili aggiornamenti. Se sì, installali immediatamente. Ti consigliamo inoltre di abilitare l'opzione "Scarica aggiornamenti automaticamente": in questo modo il sistema ti avviserà quando sarà disponibile un aggiornamento e/o lo installerà automaticamente.

[Torna al Sommario]

Ripristina il sistema alle impostazioni predefinite:

Eseguire un "ripristino delle impostazioni di fabbrica" è un ottimo modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni predefinite del sistema e pulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno eliminati, incluse foto, file video/audio, numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), messaggi SMS e così via. In altre parole, il dispositivo verrà ripristinato al suo stato originale.

È anche possibile ripristinare le impostazioni di sistema di base e/o semplicemente le impostazioni di rete.

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Informazioni sul telefono" e toccalo.

Scorri verso il basso fino a visualizzare "Reimposta" e toccalo. Ora scegli l'azione che desideri eseguire:
"Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema ed elimina completamente tutti i dati memorizzati;

[Torna al Sommario]

Disattiva le applicazioni che dispongono dei privilegi di amministratore:

Se un'applicazione dannosa ottiene privilegi di amministratore, può danneggiare gravemente il sistema. Per mantenere il dispositivo il più sicuro possibile, è necessario controllare sempre quali app dispongono di tali privilegi e disabilitare quelle che non dovrebbero averli.

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Blocco schermo e sicurezza" e toccalo.

Scorri verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccalo e poi tocca "App di amministrazione del dispositivo".

Identifica le applicazioni che non dovrebbero avere privilegi di amministratore, toccale e poi tocca "DISATTIVA".

Domande frequenti (FAQ)

Il mio dispositivo è stato infettato dal malware SeedSnatcher, devo formattare il mio dispositivo di archiviazione per eliminarlo?

Di solito non è necessario cancellare completamente il contenuto del dispositivo. I malware come SeedSnatcher possono spesso essere eliminati con programmi antivirus o anti-malware affidabili, come Combo Cleaner.

Quali sono i problemi più gravi che possono causare i malware?

Il malware può eseguire una vasta gamma di azioni dannose a seconda del tipo. Può rubare informazioni sensibili, distribuire altro software dannoso, crittografare o eliminare file, rallentare o interrompere le prestazioni del sistema e svolgere altre attività. Inoltre, il malware può consentire il controllo remoto del dispositivo.

Qual è lo scopo di SeedSnatcher?

Lo scopo di SeedSnatcher è quello di rubare le frasi di recupero dei portafogli di criptovaluta (e altri dati relativi al login) e altre informazioni sensibili (ad esempio SMS, registri delle chiamate, indirizzi IP e altro) dai dispositivi Android. I criminali informatici utilizzano il malware principalmente per commettere furti di criptovalute.

Come ha fatto SeedSnatcher a infiltrarsi nel mio dispositivo?

SeedSnatcher è probabilmente entrato nel tuo dispositivo tramite il download di un'app falsa, spesso condivisa su Telegram, sui social media o altre fonti non affidabili. Si diffonde come un APK camuffato da app relativa alle criptovalute, convincendo gli utenti a installarlo manualmente.

Combo Cleaner mi proteggerà dai malware?

Sì, Combo Cleaner è in grado di rilevare e rimuovere quasi tutti i malware conosciuti. Tuttavia, i malware avanzati spesso si nascondono in profondità nel sistema, quindi è importante eseguire una scansione completa del sistema.