Come rimuovere il trojan FvncBot dal tuo dispositivo Android

Che tipo di malware è FvncBot?

FvncBot è un trojan che prende di mira i sistemi operativi Android. Si tratta di un programma dannoso multifunzionale in grado di eseguire vari comandi sui dispositivi infetti e di sferrare attacchi di tipo overlay. Nell'autunno del 2025, FvncBot è stato scoperto mentre veniva distribuito sotto le spoglie di un'app associata a mBank, il quarto gruppo bancario universale più grande della Polonia.

Panoramica sul malware FvncBot

La catena di infezione di FvncBot viene avviata da un loader. Camuffato da "Klucz bezpieczeństwa Mbank" ("Chiave di sicurezza Mbank"), il loader richiede l'installazione di un "componente Play" per garantire il funzionamento sicuro e stabile dell'applicazione ("Komponent Play zapewnia bezpieczna i stabilna funkcjonalnosé aplikacji"). Dopo l'installazione, agli utenti viene chiesto di premere "AKTYWUJ" ("Attiva") per eseguire FvncBot.

Come la maggior parte dei programmi dannosi specifici per Android, questo malware sfrutta i servizi di accessibilità Android, che hanno lo scopo di fornire ulteriore assistenza nell'interazione con il dispositivo agli utenti che ne hanno bisogno. Sono in grado di leggere lo schermo, fornire input da tastiera, simulare il touchscreen e interagire in altro modo con il dispositivo; pertanto, il software dannoso che abusa di questi servizi ne ottiene la piena funzionalità.

FvncBot utilizza diverse tecniche anti-rilevamento, tra cui l'offuscamento del codice e la capacità di aggirare le restrizioni dei servizi di accessibilità per i sistemi operativi Android 13 e successivi. Una volta infiltrato con successo, FvncBot fornisce istruzioni dettagliate su come abilitare i servizi di accessibilità Android.

Successivamente, il trojan stabilisce una comunicazione con il proprio server C&C (Command and Control). Alcuni dei comandi che FvncBot può eseguire includono: ottenere un elenco delle app installate, aprire applicazioni (tra cui schermata iniziale, impostazioni di sistema, ecc.), modificare il livello del volume, attivare/disattivare l'audio del dispositivo, aprire la barra delle notifiche, bloccare/sbloccare il dispositivo, eseguire gesti (ad esempio clic, scorrimento, scorrimento, ecc.), simulazione della tastiera, incollaggio di testo nei campi di immissione e negli appunti, acquisizione di schermate, registrazione dei tasti premuti (keylogging), visualizzazione di sovrapposizioni e così via.

La capacità del malware di eseguire attacchi overlay è la sua funzionalità chiave. Quando una vittima apre un'applicazione mirata, FvncBot la sovrappone con una schermata di phishing che registra i dati inseriti (ad esempio, credenziali di accesso, informazioni di identificazione personale, numeri di carte di credito/debito, ecc. In alternativa, il malware potrebbe visualizzare una schermata scura per nascondere le sue attività (ad esempio, transazioni fraudolente, acquisti, ecc.). Questo trojan può anche trasmettere in streaming lo schermo della vittima, quasi in tempo reale.

Va sottolineato che gli sviluppatori di malware spesso migliorano i propri software e le proprie tecniche. Pertanto, potenziali varianti future del trojan FvncBot potrebbero avere funzionalità e caratteristiche aggiuntive/diverse.

In sintesi, la presenza di software dannosi come FvncBot sui dispositivi può causare gravi problemi di privacy, perdite finanziarie e furti di identità.

Esempi simili di malware

Abbiamo scritto di innumerevoli programmi dannosi; Sturnus, Klopatra e Datzbro sono solo alcuni dei nostri articoli più recenti su trojan simili a FvncBot.

Malware è un termine generico che indica software con una varietà di funzionalità dannose. Questi programmi possono essere multifunzionali o avere uno scopo specifico e limitato. Tuttavia, indipendentemente dal modo in cui opera un software dannoso, la sua presenza su un sistema mette in pericolo l'integrità del dispositivo e la sicurezza dell'utente. Pertanto, tutte le minacce devono essere eliminate immediatamente dopo il rilevamento.

Come ha fatto FvncBot a infiltrarsi nel mio dispositivo?

È stato osservato che FvncBot si sta diffondendo sotto le spoglie di un'app di sicurezza di Mbank. Tuttavia, il metodo di distribuzione è sconosciuto. In genere, il malware viene diffuso ricorrendo a tattiche di phishing e social engineering.

Le tecniche di proliferazione più diffuse includono: fonti di download sospette (ad esempio, siti di freeware e di hosting gratuito di file, reti di condivisione P2P, app store di terze parti, ecc.), download drive-by (furtivi/ingannevoli), malvertising, allegati o link dannosi nello spam (ad esempio, e-mail, PM/DM, post sui social media, SMS, ecc.), truffe online, contenuti piratati, strumenti di attivazione software illegali ("crack") e aggiornamenti falsi.

Alcuni programmi dannosi possono diffondersi autonomamente attraverso reti locali e dispositivi di archiviazione rimovibili (ad esempio, dischi rigidi esterni, unità flash USB, ecc.).

Come evitare l'installazione di malware?

La cautela è fondamentale per garantire la sicurezza del dispositivo e dell'utente. Pertanto, è necessario informarsi sempre sul software leggendo i termini e le recensioni di esperti/utenti, verificando le autorizzazioni richieste e controllando le autorizzazioni dello sviluppatore. Scaricare solo da fonti ufficiali e verificate. Attivare e aggiornare i programmi utilizzando funzioni/strumenti legittimi, poiché quelli acquisiti da terze parti possono contenere malware.

Siate vigili durante la navigazione, poiché Internet è pieno di contenuti ingannevoli e dannosi. Non aprite allegati o link presenti in comunicazioni sospette/irrilevanti (ad esempio e-mail, messaggi privati/diretti, SMS, ecc.).

È fondamentale installare un antivirus affidabile e mantenerlo aggiornato. È necessario utilizzare un software di sicurezza per eseguire scansioni regolari del sistema e rimuovere le minacce rilevate.

Passaggi forniti dal loader per installare il trojan FvncBot (fonte immagine – Intel 471 Blog):

Passaggi forniti dal trojan FvncBot per abilitare i servizi di accessibilità (fonte immagine – Blog Intel 471):

Menu rapido:

• Introduzione
• Come eliminare la cronologia di navigazione dal browser Chrome?
• Come disattivare le notifiche del browser nel browser web Chrome?
• Come ripristinare il browser web Chrome?
• Come eliminare la cronologia di navigazione dal browser web Firefox?
• Come disattivare le notifiche del browser nel browser web Firefox?
• Come ripristinare il browser web Firefox?
• Come disinstallare applicazioni potenzialmente indesiderate e/o dannose?
• Come avviare il dispositivo Android in "Modalità provvisoria"?
• Come controllare l'utilizzo della batteria da parte delle varie applicazioni?
• Come controllare l'utilizzo dei dati delle varie applicazioni?
• Come installare gli ultimi aggiornamenti software?
• Come ripristinare le impostazioni predefinite del sistema?
• Come disabilitare le applicazioni che dispongono dei privilegi di amministratore?

Elimina la cronologia di navigazione dal browser Chrome:

Tocca il pulsante "Menu" (tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Cronologia" nel menu a tendina che si apre.

Tocca "Cancella dati di navigazione", seleziona la scheda "AVANZATE", scegli l'intervallo di tempo e i tipi di dati che desideri eliminare, quindi tocca "Cancella dati".

[Torna al Sommario]

Disattiva le notifiche del browser nel browser web Chrome:

Tocca il pulsante "Menu" (tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Impostazioni" nel menu a tendina che si apre.

Scorri verso il basso fino a visualizzare l'opzione "Impostazioni sito" e toccala. Scorri verso il basso fino a visualizzare l'opzione "Notifiche" e toccala.

Trova i siti web che inviano notifiche al browser, toccali e clicca su "Cancella e ripristina". In questo modo verranno rimossi i permessi concessi a questi siti web per l'invio di notifiche. Tuttavia, quando visiterai nuovamente lo stesso sito, potrebbe chiederti nuovamente il permesso. Puoi scegliere se concedere o meno queste autorizzazioni (se scegli di rifiutare, il sito web passerà alla sezione "Bloccato" e non ti chiederà più l'autorizzazione).

[Torna al Sommario]

Reimposta il browser web Chrome:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.

Scorri verso il basso fino a trovare l'applicazione "Chrome", selezionala e tocca l'opzione "Memoria".

Tocca "GESTISCI MEMORIA", quindi "CANCELLA TUTTI I DATI" e conferma l'azione toccando "OK". Tieni presente che il ripristino del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno cancellati. Dovrai inoltre effettuare nuovamente il login a tutti i siti web.

[Torna al Sommario]

Elimina la cronologia di navigazione dal browser web Firefox:

Tocca il pulsante "Menu" (tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Cronologia" nel menu a tendina che si apre.

Scorri verso il basso fino a visualizzare "Cancella dati privati" e toccalo. Seleziona i tipi di dati che desideri rimuovere e tocca "CANCELLA DATI".

[Torna al Sommario]

Disattiva le notifiche del browser nel browser web Firefox:

Visita il sito web che invia le notifiche del browser, tocca l'icona visualizzata a sinistra della barra degli indirizzi (l'icona non sarà necessariamente una "Lucchetto") e seleziona "Modifica impostazioni sito".

Nel pop-up aperto, seleziona l'opzione "Notifiche" e tocca "CANCELLA".

[Torna al Sommario]

Reimposta il browser web Firefox:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.

Scorri verso il basso fino a trovare l'applicazione "Firefox", selezionala e tocca l'opzione "Memoria".

Tocca "CANCELLA DATI" e conferma l'azione toccando "ELIMINA". Tieni presente che il ripristino del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrai inoltre effettuare nuovamente il login a tutti i siti web.

[Torna al Sommario]

Disinstallare applicazioni potenzialmente indesiderate e/o dannose:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.

Scorri verso il basso fino a visualizzare un'applicazione potenzialmente indesiderata e/o dannosa, selezionala e tocca "Disinstalla". Se, per qualche motivo, non riesci a rimuovere l'app selezionata (ad esempio, viene visualizzato un messaggio di errore), prova a utilizzare la "Modalità provvisoria".

[Torna al Sommario]

Avvia il dispositivo Android in "Modalità provvisoria":

La "Modalità provvisoria" nel sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'utilizzo di questa modalità è un ottimo modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").

Premere il pulsante "Accensione" e tenerlo premuto fino a quando non viene visualizzata la schermata "Spegnimento". Toccare l'icona "Spegnimento" e tenerla premuta. Dopo alcuni secondi apparirà l'opzione "Modalità provvisoria" e sarà possibile eseguirla riavviando il dispositivo.

[Torna al Sommario]

Controlla l'utilizzo della batteria delle varie applicazioni:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Manutenzione dispositivo" e toccalo.

Tocca "Batteria" e controlla l'utilizzo di ciascuna applicazione. Le applicazioni legittime/autentiche sono progettate per consumare il meno possibile, al fine di garantire la migliore esperienza utente e risparmiare energia. Pertanto, un elevato consumo della batteria potrebbe indicare che l'applicazione è dannosa.

[Torna al Sommario]

Controlla l'utilizzo dei dati delle varie applicazioni:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Connessioni" e toccalo.

Scorri verso il basso fino a visualizzare "Utilizzo dati" e seleziona questa opzione. Come per la batteria, le applicazioni legittime/autentiche sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un utilizzo elevato dei dati può indicare la presenza di applicazioni dannose. Tieni presente che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso a una rete wireless. Per questo motivo, è necessario controllare sia l'utilizzo dei dati mobili che quello del Wi-Fi.

Se trovi un'applicazione che utilizza molti dati anche se non la usi mai, ti consigliamo vivamente di disinstallarla il prima possibile.

[Torna al Sommario]

Installa gli ultimi aggiornamenti software:

Mantenere il software aggiornato è una buona pratica quando si tratta della sicurezza dei dispositivi. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per correggere errori e bug che potrebbero essere sfruttati dai criminali informatici. Un sistema obsoleto è molto più vulnerabile, motivo per cui è necessario assicurarsi sempre che il software del dispositivo sia aggiornato.

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Aggiornamento software" e toccalo.

Tocca "Scarica aggiornamenti manualmente" e verifica se sono disponibili aggiornamenti. Se sì, installali immediatamente. Ti consigliamo inoltre di abilitare l'opzione "Scarica aggiornamenti automaticamente": in questo modo il sistema ti avviserà quando sarà disponibile un aggiornamento e/o lo installerà automaticamente.

[Torna al Sommario]

Ripristina il sistema alle impostazioni predefinite:

Eseguire un "ripristino delle impostazioni di fabbrica" è un ottimo modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni predefinite del sistema e pulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno eliminati, incluse foto, file video/audio, numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), messaggi SMS e così via. In altre parole, il dispositivo verrà ripristinato al suo stato originale.

È anche possibile ripristinare le impostazioni di sistema di base e/o semplicemente le impostazioni di rete.

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Informazioni sul telefono" e toccalo.

Scorri verso il basso fino a visualizzare "Ripristina" e toccalo. Ora scegli l'azione che desideri eseguire:
"Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema ed elimina completamente tutti i dati memorizzati;

[Torna al Sommario]

Disattiva le applicazioni che dispongono dei privilegi di amministratore:

Se un'applicazione dannosa ottiene privilegi di amministratore, può danneggiare gravemente il sistema. Per mantenere il dispositivo il più sicuro possibile, è necessario controllare sempre quali app dispongono di tali privilegi e disabilitare quelle che non dovrebbero averli.

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Blocco schermo e sicurezza" e toccalo.

Scorri verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccalo e poi tocca "App di amministrazione del dispositivo".

Identifica le applicazioni che non dovrebbero avere privilegi di amministratore, toccale e poi tocca "DISATTIVA".

Domande frequenti (FAQ)

Il mio dispositivo Android è stato infettato dal malware FvncBot, devo formattare il mio dispositivo di archiviazione per eliminarlo?

La rimozione dei malware richiede raramente la formattazione.

Quali sono i problemi più gravi che può causare il malware FvncBot?

Le minacce associate a un'infezione variano a seconda delle capacità del malware e degli obiettivi degli aggressori. FvncBot è un trojan in grado di trasmettere in streaming gli schermi delle vittime, visualizzare overlay di phishing, registrare le battute sulla tastiera ed eseguire altre azioni dannose. In generale, il malware ad alto rischio è collegato a gravi problemi di privacy, perdite finanziarie e furti di identità.

Qual è lo scopo del malware FvncBot?

Il malware viene utilizzato prevalentemente a scopo di lucro. Altri potenziali motivi includono l'interruzione dei processi (ad esempio siti web, servizi, aziende, ecc.), gli aggressori che cercano divertimento o vendetta personale, l'hacktivismo e motivazioni politiche/geopolitiche.

Come ha fatto il malware FvncBot a infiltrarsi nel mio dispositivo Android?

Sebbene la distribuzione di FvncBot sia sconosciuta, è stato camuffato come app di sicurezza di mBank. I metodi di proliferazione del malware più comunemente utilizzati includono: malvertising, e-mail/messaggi di spam, truffe online, download drive-by, fonti di download dubbie, contenuti piratati, falsi programmi di aggiornamento e strumenti di attivazione software illegali ("crack"). Alcuni programmi dannosi possono diffondersi autonomamente attraverso reti locali e dispositivi di archiviazione rimovibili.

Combo Cleaner mi proteggerà dai malware?

Combo Cleaner è in grado di rilevare e rimuovere praticamente tutte le infezioni da malware conosciute. Ricordate che è essenziale eseguire una scansione completa del sistema, poiché i programmi dannosi più sofisticati tendono a nascondersi in profondità all'interno dei sistemi.