- Zscaler rileva 239 app dannose su Google Play e oltre 42 milioni di download
- Nuove campagne: trojan bancario con overlay, spyware "Landfall" e frode NFC con NGate
- Il malware mobile cresce del 67% su base annua; domina l'adware (69%) e l'Europa registra picchi in paesi come l'Italia
- Guida alla protezione: autorizzazioni, aggiornamenti, Play Protect, verifica delle app e monitoraggio dell'account
I telefoni Android restano sotto i riflettori e, secondo le ultime ricerche, Le prospettive non sono esattamente tranquille.. Tra Trojan bancari che svuotano i conti, Spyware che sfrutta vulnerabilità zero-day e frodi contactlessLa superficie di attacco cresce parallelamente all'adozione del digitale in Europa e in Spagna.
Nelle ultime settimane Sono emersi dati e campagne che dipingono un quadro complesso: 239 app dannose su Google Play accumulando più di 42 milioni di download, un nuovo trojan bancario con sovrapposizioni in grado di prendere il controllo del dispositivo, uno spyware chiamato Landfall che filtra attraverso Immagini DNG e uno schema di clonazione della carta tramite NFC (NGate) originario dell'Europa e in espansione in America Latina.
Un'istantanea dell'aumento del malware mobile su Android
L'ultimo rapporto di Zscaler rivela che tra giugno 2024 e maggio 2025 Google Play ospitava 239 app dannose che ha superato i 42 milioni di installazioni. Attività malware mobile è cresciuto del 67% su base annua, con una presenza speciale nella categoria strumenti e produttività, dove gli aggressori si mascherano da utility apparentemente legittime.
Questa evoluzione si traduce in un netto cambiamento di tattica: L'adware rappresenta il 69% dei rilevamentimentre la famiglia Joker scende al 23%. Per paese, India (26%), Stati Uniti (15%) e Canada (14%) guidano le statistiche, ma in Europa si è osservato un calo. notevoli incrementi in Italiacon aumenti molto bruschi su base annua e avvertimenti sulla possibile diffusione del rischio al resto del continente.
Di fronte a questo scenario, Google ha rafforzato il suo controllo sull'ecosistema degli sviluppatori con misure aggiuntive di verifica dell'identità per la pubblicazione su Android. L'obiettivo è alzare il livello di accesso e tracciabilità, riducendo la capacità dei criminali informatici di distribuire malware attraverso gli store ufficiali.
Oltre al volume, anche la sofisticatezza è una preoccupazione: Zscaler mette in evidenza le famiglie particolarmente attive, tra cui Anatsa (Trojan bancario), Android Void/Vo1d (backdoor nei dispositivi con AOSP legacy, con oltre 1,6 milioni di dispositivi interessati) e XnoticeUn RAT progettato per rubare credenziali e codici 2FA. In Europa, istituzioni finanziarie e utenti di servizi bancari mobili Rappresentano un rischio evidente.
Gli esperti sottolineano un passaggio dalla classica frode con carta di credito verso pagamenti mobili e tecnologie sociali (phishing, smishing e SIM swapping), che richiede di aumentare l'igiene digitale dell'utente finale e di rafforzare la protezione dei canali mobili delle entità.
Android/BankBot-YNRK: sovrapposizioni, accessibilità e furto bancario
I ricercatori di Cyfirma hanno documentato un trojan bancario per Android soprannominato “Android/BankBot‑YNRK”, è stato progettato per impersonare app legittime e quindi attivare i servizi di accessibilità per ottenere il controllo totale del dispositivo. La sua specialità sono gli attacchi overlay: crea schermate di accesso false sulle vere app bancarie e crittografiche per acquisire credenziali.
La distribuzione combina il Play Store (in ondate che aggirano i filtri) con pagine fraudolente che offrono APK, utilizzando nomi di pacchetti e titoli che imitano servizi popolari. Tra gli identificatori tecnici rilevati ci sono diversi Hash SHA-256 e si ipotizza che l'operazione funzionerà sotto Malware come servizio, che ne facilita l'espansione in diversi paesi, compresa la Spagna.
Una volta dentro, impone i permessi di accessibilità, si aggiunge come amministratore del dispositivo e legge ciò che appare sullo schermo. premere pulsanti virtuali e compilare moduliPuò anche intercettare i codici 2FA, manipolare le notifiche e automatizzare i trasferimentiil tutto senza destare alcun sospetto visibile.
Gli analisti collegano questa minaccia alla famiglia BankBot/Anubis, attiva dal 2016, con molteplici varianti che Si evolvono per eludere il software antivirus e controlli dei negozi. Le campagne sono solitamente mirate ad app finanziarie ampiamente utilizzate, il che ne aumenta il potenziale impatto se non rilevate in tempo.
Per gli utenti e le imprese nell'UE, la raccomandazione è di rafforzare controlli dei permessiControlla le impostazioni di accessibilità e monitora il comportamento delle app finanziarie. In caso di dubbi, è meglio disinstallarle, scansionare il dispositivo e cambiare le credenziali in coordinamento con l'ente.
Landfall: spionaggio silenzioso tramite immagini DNG e glitch zero-day
Un'altra indagine, condotta dall'Unità 42 di Palo Alto Networks, ha scoperto un spyware per Android detto Landfall che sfruttava una vulnerabilità zero-day nella libreria di elaborazione delle immagini (libimagecodec.quram.so) per eseguire codice quando decodificare i file DNG. Era abbastanza ricevere l'immagine tramite messaggistica in modo che l'attacco possa essere eseguito senza interazione.
Le prime indicazioni risalgono al luglio 2024 e la sentenza è stata classificata come CVE‑2025‑21042 (con una correzione aggiuntiva CVE-2025-21043 mesi dopo). La campagna ha preso di mira con particolare enfasi Dispositivi Samsung Galaxy e hanno avuto il maggiore impatto in Medio Oriente, anche se gli esperti mettono in guardia dalla facilità con cui queste operazioni possono espandersi geograficamente.
Una volta commesso, L'approdo ha consentito l'estrazione foto senza caricarle sul cloudmessaggi, contatti e registri delle chiamate, Plus attivare il microfono di nascostoLa modularità dello spyware e la sua persistenza per quasi un anno senza essere rilevato sottolineano l' salto di sofisticazione che vengono forniti dalle minacce mobili avanzate.
Per mitigare il rischio è fondamentale Applicare gli aggiornamenti di sicurezza del produttore, limitare l'esposizione ai file ricevuti da contatti non verificati e mantenere attivi i meccanismi di protezione del sistema., sia nei terminali per uso personale che nelle flotte aziendali.
NGate: clonazione di carte NFC, dalla Repubblica Ceca al Brasile
La comunità della sicurezza informatica si è concentrata anche su NGate, un Malware Android progettato per frodi finanziarie che abusa della tecnologia NFC per copiare i dati della carta e emularli su un altro dispositivo. Sono state documentate campagne nell'Europa centrale (Repubblica Ceca) che prevedevano l'impersonificazione di banche locali e una successiva evoluzione volta a utenti in Brasile.
L'inganno combina smishing, ingegneria sociale e l'uso di PWA/WebAPK e siti web che imitano Google Play per facilitare l'installazione. Una volta dentro, guida la vittima ad attivare l'NFC e a inserire il PIN, intercetta lo scambio e lo inoltra tramite strumenti come Classifica NFC, consentendo prelievi di contanti presso gli sportelli bancomat e pagamenti POS contactless.
Vari fornitori Rilevano varianti sotto tag come Android/Spy.NGate.B e euristiche Trojan-BankerSebbene non vi siano prove pubbliche di campagne attive in Spagna, le tecniche utilizzate sono trasferibile a qualsiasi regione con un sistema bancario contactless ampiamente adottato.
Come ridurre il rischio: le migliori pratiche
Prima di procedere all'installazione, prenditi qualche secondo per controllare editore, valutazioni e data dell'app. Fate attenzione alle richieste di autorizzazione che non corrispondono alla funzione indicata. (specialmente Accessibilità e amministrazione del dispositivo).
Mantieni il sistema e le app sempre aggiornatoAttiva Google Play Protect ed esegui scansioni regolari. Negli ambienti aziendali, è consigliabile implementare policy MDM. elenchi di blocchi e monitoraggio delle anomalie della flotta.
Evita di scaricare APK da link presenti in messaggi SMS, social media o e-mail e tieniti alla larga da... pagine che imitano Google PlaySe un'app bancaria ti chiede il PIN della carta o di tenere la carta vicino al telefono, insospettisciti e chiedi consiglio alla tua banca.
Se noti segni di infezione (dati anomali o consumo della batteria, notifiche strane(schermate sovrapposte), disconnettere i dati, disinstallare app sospette, scansionare il dispositivo e modificare le credenziali. Contattare la banca se si rilevano movimenti non autorizzati.
In ambito professionale, Incorpora IoC pubblicati dai ricercatori (domini, hash e pacchetti osservati) alle tue liste di blocco e coordina la risposta con i CSIRT del settore per tagliare stringhe possibili di infezione.
L'ecosistema Android sta attraversando una fase di forte pressione da parte della criminalità informatica: da app dannose negli store ufficiali Tra questi rientrano i trojan bancari con overlay, gli spyware che sfruttano le immagini DNG e le frodi NFC con emulazione di carte. Con aggiornamenti aggiornati, un'installazione attenta e un monitoraggio attivo delle autorizzazioni e delle transazioni bancarie, è possibile prevenirli. ridurre drasticamente l'esposizione sia singoli utenti che organizzazioni in Spagna e nel resto d'Europa.
Sono un appassionato di tecnologia che ha trasformato i suoi interessi "geek" in una professione. Ho trascorso più di 10 anni della mia vita utilizzando tecnologie all'avanguardia e armeggiando con tutti i tipi di programmi per pura curiosità. Ora mi sono specializzato in informatica e videogiochi. Questo perché da più di 5 anni scrivo per vari siti web di tecnologia e videogiochi, creando articoli che cercano di darti le informazioni di cui hai bisogno in un linguaggio comprensibile a tutti.
In caso di domande, le mie conoscenze spaziano da tutto ciò che riguarda il sistema operativo Windows e Android per telefoni cellulari. E il mio impegno è nei tuoi confronti, sono sempre disposto a dedicare qualche minuto e aiutarti a risolvere qualsiasi domanda tu possa avere in questo mondo di Internet.