- 239 app maliziose nantu à Google Play è più di 42 milioni di scaricamenti rilevati da Zscaler
- Nove campagne: trojan bancariu cù overlays, spyware "Landfall" è frode NFC cù NGate
- U malware mobile cresce di 67% annantu à l'annu precedente; l'adware domina (69%) è l'Europa registra picchi in paesi cum'è l'Italia.
- Guida di prutezzione: permessi, aghjurnamenti, Play Protect, verificazione di l'app è monitoraghju di u contu
I telefoni Android restanu in u centru di l'attenzione, è secondu l'ultime ricerche, A prospettiva ùn hè micca esattamente calma.. trà Trojani bancari chì svuotanu i conti, Spyware chì sfrutta vulnerabilità zero-day è frodi senza cuntattuA superficia d'attaccu cresce in cunfurmità cù l'adozione digitale in Europa è in Spagna.
In l'ultime settimane Campagne è dati sò ghjunti à a luce chì dipinghjenu un quadru cumplessu: 239 app maliziose nantu à Google Play accumulendu più di 42 milioni di scaricamenti, un novu Trojan bancariu cù sovrapposizioni capaci di piglià u cuntrollu di u dispusitivu, un spyware chjamatu A terra chì si filtra à traversu Imagine DNG è un schema di clonazione di carte via NFC (NGate) urighjinarii in Europa è si sparghjenu in America Latina.
Una istantanea di l'ascesa di malware mobile nantu à Android
L'ultimu rapportu Zscaler revela chì trà ghjugnu 2024 è maghju 2025 Google Play hà ospitatu 239 app maliziose chì hà superatu i 42 milioni d'installazioni. Attività di malware mobile hè cresciutu di 67% annantu à l'annu precedente, cù una presenza particulare in a categuria di strumenti è produttività, induve l'attaccanti si travestenu da utilità apparentemente legittime.
Questa evoluzione si traduce in un cambiamentu chjaru di tattiche: L'adware rapprisenta u 69% di e rilevazionimentre chì a famiglia Joker casca à 23%. Per paese, l'India (26%), i Stati Uniti (15%) è u Canada (14%) sò in testa di e statistiche, ma in Europa, hè stata osservata una diminuzione. aumenti notevuli in Italiacù aumenti assai bruschi d'annu in annu, è avvertimenti nantu à a pussibile diffusione di u risicu à u restu di u cuntinente.
Di fronte à questu scenariu, Google hà rinfurzatu u so cuntrollu nantu à l'ecosistema di sviluppatori cù misure supplementari di verificazione di l'identità per a publicazione nant'à Android. L'intenzione hè di elevà u livellu d'entrata è di tracciabilità, riducendu a capacità di i cibercriminali di distribuisce malware per mezu di i magazini ufficiali.
In più di u vulume, a sofisticazione hè una preoccupazione: Zscaler mette in risaltu famiglie particularmente attive, frà elle Anatsa (Trojan bancariu), Android Void/Vo1d (backdoor in dispositivi cù AOSP legacy, cù più di 1,6 milioni di dispositivi affettati) è Avvisu XUn RAT cuncipitu per arrubà credenziali è codici 2FA. In Europa, istituzioni finanziarie è utilizatori di banca mobile Presentanu un risicu chjaru.
L'esperti indicanu un cambiamentu da a frode classica di carte di creditu versu pagamenti mobili è tecnulugie suciali (phishing, smishing è scambiu di SIM), ciò chì richiede di elevà l'igiene digitale di l'utente finale è di rinfurzà a prutezzione di i canali mobili di l'entità.
Android/BankBot-YNRK: Sovrapposizioni, Accessibilità è Furtu di Banca
I circadori di Cyfirma anu documentatu un trojan bancariu per Android Chjamatu "Android/BankBot‑YNRK", hè statu cuncipitu per impersonà applicazioni legittime è dopu attivà i servizii d'accessibilità per ottene u cuntrollu tutale di u dispusitivu. A so specialità hè l'attacchi di sovrapposizione: crea schermi di login falsi nantu à e vere app bancarie è crittografiche per catturà credenziali.
A distribuzione combina i Play Store (in onde chì bypassanu i filtri) cù pagine fraudulente chì offrenu APK, aduprendu nomi di pacchetti è tituli chì imitanu servizii populari. Frà l'identificatori tecnichi rilevati ci sò parechji Hash SHA-256 è si specula chì l'operazione funzionerà sottu Malware-cum'è-Serviziu, chì facilita a so espansione in diversi paesi, cumpresi Spagna.
Una volta dentru, forza i permessi d'accessibilità, si aghjusta cum'è amministratore di u dispusitivu è leghje ciò chì appare nantu à u screnu. appughjà i buttoni virtuali è riempie i moduliPò ancu intercettà codici 2FA, manipulà notificazioni è automatizà i trasferimentituttu senza suscità alcun suspettu visibile.
L'analisti liganu sta minaccia à a famiglia BankBot/Anubis, attiva dapoi u 2016, cù parechje varianti chì Evoluzionanu per evità u software antivirus è cuntrolli di i magazini. E campagne sò generalmente destinate à l'applicazioni finanziarie largamente aduprate, ciò chì aumenta l'impattu putenziale s'ellu ùn hè micca rilevatu in tempu.
Per l'utilizatori è l'imprese in l'UE, a raccomandazione hè di rinfurzà cuntrolli di permessuVerificate i paràmetri d'accessibilità è monitorate u cumpurtamentu di l'applicazioni finanziarie. In casu di dubbitu, hè megliu disinstallà, scansà u vostru dispositivu è cambià credenziali in cuurdinamentu cù l'entità.
Landfall: Spionaggio silenziu cù l'imagine DNG è i glitches zero-day
Un'altra investigazione, guidata da l'Unità 42 di Palo Alto Networks, hà scupertu un spyware per Android chjamatu A terra chì hà sfruttatu una vulnerabilità zero-day in a biblioteca di trasfurmazioni d'imagine (libimagecodec.quram.so) per eseguisce u codice quandu decifrà i fugliali DNG. Era abbastanza riceve l'imagine via missaghju in modu chì l'attaccu puderia esse realizatu senza interazzione.
I primi indicazioni datanu di lugliu 2024 è a decisione hè stata classificata cum'è CVE-2025-21042 (cù una currezzione supplementaria CVE-2025-21043 mesi dopu). A campagna hà miratu cù una enfasi particulare Dispositivi Samsung Galaxy è hà avutu u più grande impattu in u Mediu Oriente, ancu s'è l'esperti avvisanu di a facilità cù a quale queste operazioni ponu espansione geografica.
Una volta impegnatu, Estrazione permessa da a sbarcamentu ritratti senza caricalli in u cloudmissaghji, cuntatti è registri di chjamate, in più di attivà u microfonu di manera clandestinaA modularità di u spyware è a so persistenza per quasi un annu senza esse rilevatu sottolineanu u un saltu in sofisticazione chì sò dati da minacce mobili avanzate.
Per mitigà u risicu, hè essenziale Applicate l'aghjurnamenti di sicurezza di u fabricatore, limitate l'esposizione à i fugliali ricevuti da cuntatti micca verificati è mantenete attivi i meccanismi di prutezzione di u sistema., sia in terminali d'usu persunale sia in flotte aziendali.
NGate: clonazione di carte NFC, da a Republica Ceca à u Brasile
A cumunità di a cibersigurtà s'hè ancu cuncintrata nantu à NGate, Un Malware Android cuncipitu per a frode finanziaria chì abusa di NFC di copia di dati di carta è emulalli nantu à un altru dispusitivu. Campagne sò state documentate in Europa Centrale (Repubblica Ceca) chì implicanu l'impersonificazione di e banche lucali è una evoluzione successiva destinata à utilizatori in Brasile.
L'ingannu combina u smishing, l'ingegneria suciale è l'usu di PWA/WebAPK è siti web chì imitanu Google Play per facilità l'installazione. Una volta dentru, guida a vittima per attivà NFC è inserisce u PIN, intercetta u scambiu è u trasmette aduprendu strumenti cum'è NFCGate, chì permette i prelievi di soldi in contanti à i bancomat è i pagamenti POS senza cuntattu.
Diversi fornitori Rilevanu varianti sottu etichette cum'è Android/Spy.NGate.B è euristiche Trojan-Banker.Ancu s'ellu ùn ci hè micca evidenza publica di campagne attive in Spagna, e tecniche aduprate sò trasferibile in ogni regione cù a banca senza cuntattu largamente aduttata.
Cumu riduce u risicu: e migliori pratiche
Prima di stallà, pigliate uni pochi di secondi per verificà editore, valutazioni è data di l'app. Attenti à e richieste di permessu chì ùn currispondenu micca à a funzione dichjarata. (in particulare Accessibilità è Amministrazione di u dispusitivu).
Mantene u sistema è l'applicazioni in funzione. sempre aghjurnatuAttivate Google Play Protect è eseguite scansioni regularmente. In ambienti aziendali, hè cunsigliatu di implementà pulitiche MDM. liste di bloccu è u monitoraghju di l'anomalie di a flotta.
Evitate di scaricà APK da ligami in missaghji SMS, social media, o email, è state luntanu da... pagine chì imitanu Google PlaySè una applicazione bancaria vi dumanda u codice PIN di a vostra carta o vi dumanda di tene a vostra carta vicinu à u vostru telefunu, suspettate è verificate cù a vostra banca.
Sè vo nutate segni d'infezzione (dati anormali o cunsumu di batteria, notifiche strane(schermi sovrapposti), disconnect data, disinstallà app suspette, scansà u vostru dispositivu è cambià e vostre credenziali. Cuntattate a vostra banca se rilevate movimenti micca autorizati.
In u scopu prufessiunale, Incorpora IoC publicati da i circadori (duminii, hash è pacchetti osservati) à e vostre liste di bloccu, è coordinà a risposta cù i CSIRT di settore per taglià stringhe pussibuli d'infezzione.
L'ecosistema Android passa per una fase di forte pressione da a cibercriminalità: da app maliziose in i magazini ufficiali Questu include i Trojan bancari cù sovrapposizioni, i spyware chì sfruttanu l'imagine DNG è e frodi NFC cù emulazione di carte. Cù aghjurnamenti aggiornati, prudenza durante l'installazione è monitoraghju attivu di i permessi è di e transazzioni bancarie, hè pussibule di prevene li. riduce drasticamente l'esposizione sia l'utilizatori individuali sia l'urganisazioni in Spagna è in u restu di l'Europa.
Sò un entusiasta di a tecnulugia chì hà trasfurmatu i so interessi "geek" in una professione. Aghju passatu più di 10 anni di a mo vita cù a tecnulugia d'avanguardia è scacciendu ogni tipu di prugrammi per pura curiosità. Avà sò specializatu in tecnulugia di computer è video games. Questu hè chì dapoi più di 5 anni aghju scrittu per diversi siti web nantu à a tecnulugia è i video games, creendu articuli chì cercanu di dà l'infurmazioni chì avete bisognu in una lingua chì hè comprensibile à tutti.
Sì avete qualchì quistione, a mo cunniscenza varieghja da tuttu ciò chì riguarda u sistema operatore Windows è ancu Android per i telefunini. È u mo impegnu hè di voi, sò sempre dispostu à passà uni pochi di minuti è aiutavvi à risolve tutte e dumande chì pudete avè in questu mondu Internet.