https://pepelac.news/it/posts/id20906-devixor-trojan-bancario-android-con-tattiche-ransomware

deVixor: trojan bancario Android con tattiche ransomware

Nuovo trojan bancario Android deVixor: come funziona e come difendersi

deVixor: trojan bancario Android con tattiche ransomware

Allarme sicurezza: deVixor, trojan bancario Android che ruba SMS e credenziali e blocca lo schermo con richieste TRON. Scopri come difenderti in modo sicuro.

2026-01-14T10:23:22+03:00

I ricercatori di cybersecurity hanno segnalato una nuova minaccia per chi usa Android: un trojan bancario chiamato deVixor che non solo prosciuga i conti delle vittime, ma ricorre anche a tattiche da ransomware.Gli specialisti hanno individuato oltre 700 campioni del malware; gli attacchi proseguono da ottobre 2025. deVixor si diffonde tramite siti contraffatti mascherati da pagine di noti marchi automobilistici che sbandierano offerte imperdibili. Ai visitatori viene chiesto di scaricare un APK, presentato come un’app per effettuare un ordine o ottenere maggiori dettagli: un’esca studiata per sembrare pratica e innocua.Una volta installato, il trojan si annida in silenzio e entra in azione, appoggiandosi a un’infrastruttura di comando e controllo basata su Telegram. Comunica inoltre con i server Firebase per ricevere istruzioni e inviare i dati sottratti: una combinazione che, sfruttando piattaforme familiari, rende l’individuazione e l’interruzione dell’attacco sensibilmente più difficile.L’obiettivo principale è il furto di denaro. Il malware scandaglia gli SMS del dispositivo compromesso a caccia di notifiche bancarie e codici monouso, e raccoglie numeri di carta e saldi di conto. Gli aggressori sfruttano anche WebView e iniezioni JavaScript per mostrare finte pagine bancarie estremamente credibili, dove le vittime inseriscono senza saperlo le proprie credenziali.La funzione più inquietante è il modulo di estorsione integrato. Su comando, gli operatori possono bloccare lo schermo del dispositivo e visualizzare una richiesta di pagamento in criptovaluta TRON — 50 TRX — a un indirizzo indicato. Il telefono resta inaccessibile finché la richiesta non viene soddisfatta, trasformando il furto di dati in un vero e proprio ricatto.La comparsa di deVixor conferma che i criminali informatici continuano ad affinare gli strumenti, rendendo le loro piattaforme d’attacco più flessibili e insidiose. Gli esperti invitano gli utenti Android a verificare con attenzione la provenienza delle app e a evitare l’installazione di APK da siti non verificati, soprattutto quando l’offerta sembra troppo vantaggiosa per essere reale. Un monito semplice, ma che fa la differenza.

deVixor, trojan bancario Android, malware Android, ransomware mobile, furto credenziali, SMS e OTP, WebView injection, phishing bancario, Telegram C2, Firebase, TRON, APK malevoli, sicurezza Android

2026

Danny Weber

news

Nuovo trojan bancario Android deVixor: come funziona e come difendersi

Allarme sicurezza: deVixor, trojan bancario Android che ruba SMS e credenziali e blocca lo schermo con richieste TRON. Scopri come difenderti in modo sicuro.

Danny Weber, Editor

10:23 14-01-2026

Gli specialisti hanno individuato oltre 700 campioni del malware; gli attacchi proseguono da ottobre 2025. deVixor si diffonde tramite siti contraffatti mascherati da pagine di noti marchi automobilistici che sbandierano offerte imperdibili. Ai visitatori viene chiesto di scaricare un APK, presentato come un’app per effettuare un ordine o ottenere maggiori dettagli: un’esca studiata per sembrare pratica e innocua.

Una volta installato, il trojan si annida in silenzio e entra in azione, appoggiandosi a un’infrastruttura di comando e controllo basata su Telegram. Comunica inoltre con i server Firebase per ricevere istruzioni e inviare i dati sottratti: una combinazione che, sfruttando piattaforme familiari, rende l’individuazione e l’interruzione dell’attacco sensibilmente più difficile.

L’obiettivo principale è il furto di denaro. Il malware scandaglia gli SMS del dispositivo compromesso a caccia di notifiche bancarie e codici monouso, e raccoglie numeri di carta e saldi di conto. Gli aggressori sfruttano anche WebView e iniezioni JavaScript per mostrare finte pagine bancarie estremamente credibili, dove le vittime inseriscono senza saperlo le proprie credenziali.

La funzione più inquietante è il modulo di estorsione integrato. Su comando, gli operatori possono bloccare lo schermo del dispositivo e visualizzare una richiesta di pagamento in criptovaluta TRON — 50 TRX — a un indirizzo indicato. Il telefono resta inaccessibile finché la richiesta non viene soddisfatta, trasformando il furto di dati in un vero e proprio ricatto.

La comparsa di deVixor conferma che i criminali informatici continuano ad affinare gli strumenti, rendendo le loro piattaforme d’attacco più flessibili e insidiose. Gli esperti invitano gli utenti Android a verificare con attenzione la provenienza delle app e a evitare l’installazione di APK da siti non verificati, soprattutto quando l’offerta sembra troppo vantaggiosa per essere reale. Un monito semplice, ma che fa la differenza.