Android
Il 2025 ha visto un numero record di attacchi ai dispositivi Android. I truffatori stanno attualmente cavalcando alcune grandi onde: il clamore che circonda le app di intelligenza artificiale, il bisogno di aggirare i blocchi dei siti o i controlli dell’età, la ricerca di un affare per un nuovo smartphone, l’ubiquità del mobile banking e, naturalmente, la popolarità dell’NFC. Analizziamo le principali minacce del periodo 2025-2026 e scopriamo come tenere al sicuro il dispositivo Android in questo nuovo panorama.
Sideloading
I pacchetti di installazione dannosi (file APK) sono sempre stati il boss finale tra le minacce Android, nonostante gli sforzi pluriennali di Google per rafforzare il sistema operativo. Utilizzando il sideloading, ovvero l’installazione di un’app tramite un file APK anziché scaricarla dall’archivio ufficiale, gli utenti possono installare praticamente qualsiasi cosa, incluso il malware diretto. E né il lancio di Google Play Protect, né le varie restrizioni delle autorizzazioni per le app losche sono riuscite a intaccare l’entità del problema.
Secondo i dati preliminari di Kaspersky per il 2025, il numero delle minacce Android rilevate è cresciuto quasi della metà. Solo nel terzo trimestre i rilevamenti sono aumentati del 38% rispetto al secondo trimestre. In alcuni ambiti, come i Trojan banker, la crescita è stata ancora più aggressiva. Solo in Russia, il famigerato banchiere Mamont ha attaccato 36 volte più utenti rispetto all’anno precedente, mentre a livello globale l’intera categoria ha visto un aumento del quadruplo.
Oggi gli utenti malintenzionati distribuiscono il malware principalmente tramite le app di messaggistica facendo scorrere i file dannosi nei messaggi diretti e nelle chat di gruppo. Il file di installazione in genere ha un nome allettante (si pensi a “party_pics.jpg.apk” o “clearance_sale_catalog.apk”), accompagnato da un messaggio “utile” che spiega come installare il pacchetto ignorando le restrizioni del sistema operativo e gli avvisi di sicurezza.
Quando un nuovo dispositivo viene infettato, il malware spesso invia spam a tutti gli utenti nell’elenco dei contatti della vittima.
Anche le campagne e-mail e spam nei motori di ricerca sono di tendenza, attirando gli utenti verso siti che assomigliano esattamente a un app store ufficiale. Lì viene richiesto di scaricare “l’ultima app utile”, ad esempio un assistente AI. In realtà, anziché eseguire un’installazione da un App Store ufficiale, l’utente finisce per scaricare un pacchetto APK. Un ottimo esempio di queste tattiche è il Trojan Android ClayRat, che utilizza un mix di tutte queste tecniche per prendere di mira gli utenti russi. Si diffonde attraverso gruppi e siti Web falsi, si diffonde ai contatti della vittima tramite SMS, quindi procede a rubare i registri delle chat e la cronologia delle chiamate della vittima; arriva persino a scattare foto del proprietario utilizzando la fotocamera frontale. In soli tre mesi sono emerse oltre 600 diverse build ClayRat.
L’entità del disastro è così imponente che Google ha persino annunciato un imminente divieto di distribuzione di app di sviluppatori sconosciuti a partire dal 2026. Tuttavia, dopo un paio di mesi di pressioni da parte della community di sviluppatori, l’azienda è passata a un approccio più morbido: le app non firmate probabilmente saranno installabili solo tramite una sorta di modalità superutente. Di conseguenza, possiamo aspettarci che i truffatori aggiornino semplicemente le proprie guide pratiche con istruzioni su come attivare tale modalità.
Kaspersky per Android vi aiuterà a proteggervi dai file APK contraffatti e trojanizzati. Purtroppo, a causa della decisione di Google, le nostre app di protezione Android non sono al momento disponibili su Google Play. In precedenza sono state fornite informazioni dettagliate su come installare le nostre app Android con una garanzia di autenticità del 100%.
Attacchi relay NFC
Quando un dispositivo Android viene compromesso, gli hacker possono ignorare l’intermediario per rubare direttamente i soldi della vittima, grazie all’enorme popolarità dei pagamenti mobili. Solo nel terzo trimestre del 2025, oltre 44.000 di questi attacchi sono stati rilevati solo in Russia, con un balzo del 50% rispetto al trimestre precedente.
Al momento sono in gioco due truffe principali: exploit NFC diretti e inversi.
L’inoltro NFC diretto si verifica quando un truffatore contatta la vittima tramite un’app di messaggistica e la convince a scaricare un’app, presumibilmente per “verificare la propria identità” con la banca. Se la vittima ci casca e lo installa, viene chiesto di appoggiare la carta bancaria fisica al retro del telefono e immettere il PIN. E proprio così i dati della carta vengono consegnati ai malviventi, che possono quindi prosciugare l’account o fare shopping.
Il relay NFC inverso è uno schema più elaborato. Il truffatore invia un APK dannoso e convince la vittima a impostare questa nuova app come metodo di pagamento contactless primario. L’app genera un segnale NFC che gli sportelli automatici riconoscono come la carta del truffatore. La vittima viene quindi convinta ad andare a un bancomat con il telefono infetto per depositare contanti in un “conto sicuro”. In realtà, quei fondi vanno direttamente nelle tasche del truffatore.
Analizziamo entrambi questi metodi in dettaglio nel nostro post, Attacchi di skimming NFC.
L’NFC viene anche sfruttato per incassare dalle carte dopo che i relativi dettagli sono stati sottratti tramite siti Web di phishing. In questo scenario, gli autori degli attacchi tentano di collegare la carta rubata a un portafoglio mobile sul proprio smartphone, uno schema di cui abbiamo parlato ampiamente nel post I ladri di dettagli delle carte di credito NFC si nascondono dietro Apple Pay e Google Wallet.
Il clamore delle VPN
In molte parti del mondo accedere a determinati siti Web non è facile come una volta. Alcuni siti sono bloccati dalle autorità di regolamentazione di Internet o dagli ISP locali tramite ingiunzioni del tribunale; altri richiedono agli utenti di superare un controllo di verifica dell’età mostrando ID e informazioni personali. In alcuni casi, i siti bloccano completamente gli utenti di paesi specifici solo per evitare il grattacapo del rispetto delle leggi locali. Gli utenti cercano costantemente di aggirare queste restrizioni e spesso finiscono per pagare con i propri dati o denaro contante.
Molti strumenti popolari per aggirare i blocchi, in particolare quelli gratuiti, spiano efficacemente i propri utenti. Un recente controllo ha rivelato che oltre 20 servizi popolari con un totale di oltre 700 milioni di download monitorano attivamente la posizione dell’utente. Tendono inoltre a utilizzare nella migliore delle ipotesi un criptaggio impreciso, che in sostanza lascia tutti i dati dell’utente scoperti per l’intercettazione di terze parti.
Inoltre, secondo i dati Google di novembre 2025, si è verificato un forte aumento dei casi in cui app dannose vengono camuffate da servizi VPN legittimi per ingannare ignari utenti.
Le autorizzazioni effettivamente richieste da questa categoria di app corrispondono perfettamente per l’intercettazione dei dati e la manipolazione del traffico del sito Web. È inoltre molto più facile per i truffatori convincere una vittima a concedere privilegi di amministratore a un’app responsabile dell’accesso a Internet rispetto, ad esempio, a un gioco o a un lettore musicale. Dovremmo aspettarci che questo schema cresca in popolarità.
Trojan pronti all’uso
Anche gli utenti prudenti possono essere vittime di un’infezione se cedono all’impulso di risparmiare denaro. Nel corso del 2025 sono stati segnalati casi in tutto il mondo in cui i dispositivi erano già portatori di un Trojan nel momento in cui è stata aperta la confezione. In genere si trattava di smartphone di oscuri produttori o imitazioni di marchi famosi acquistati sui Marketplace online. Ma la minaccia non era limitata ai soli telefoni; Sono risultati a rischio box TV, tablet, smart TV e persino cornici per foto digitali.
Non è ancora del tutto chiaro se l’infezione si verifichi direttamente in fabbrica o da qualche parte lungo la supply chain tra la fabbrica e la porta dell’acquirente, ma il dispositivo è già infetto prima della prima accensione. In genere si tratta di un sofisticato malware chiamato Triada, identificato per la prima volta dagli analisti Kaspersky nel 2016. È in grado di insinuarsi in ogni app in esecuzione per intercettare le informazioni: furto di token di accesso e password per le app di messaggistica e i social media più diffusi, dirottamento di messaggi SMS (codici di conferma), reindirizzamento degli utenti a siti ricchi di annunci e persino eseguendo un proxy direttamente al telefono, in modo che gli autori degli attacchi possano navigare nel Web utilizzando l’identità della vittima.
Tecnicamente, il trojan è incorporato direttamente nel firmware dello smartphone e l’unico modo per eliminarlo è eseguire il reflash del dispositivo con un sistema operativo pulito. Di solito, una volta approfondito il sistema, si scopre che il dispositivo ha molta meno RAM o spazio di archiviazione di quanto pubblicizzato, il che significa che il firmware sta letteralmente mentendo al proprietario per vendere una configurazione hardware economica come qualcosa di più premium.
Un’altra minaccia preinstallata comune è la botnet BADBOX 2.0, che svolge anche il doppio servizio come proxy e motore per le frodi pubblicitarie. Questa minaccia è specializzata in box TV e hardware simile.
Come continuare a utilizzare Android senza perdere la testa
Nonostante l’elenco di minacce in continua crescita, è comunque possibile utilizzare lo smartphone Android in sicurezza! È necessario solo attenersi ad alcune rigide regole di igiene mobile.
- Installa una soluzione di protezione completa per tutti gli smartphone. Si consiglia Kaspersky per Android per la protezione da malware e phishing.
- Evita il sideload delle app tramite gli APK ogni volta che puoi utilizzare un’app store. Un noto app store, anche più piccolo, è sempre una scommessa migliore di un APK casuale da qualche sito Web casuale. Se non hai altra scelta, scarica i file APK solo dai siti Web ufficiali dell’azienda e controlla l’URL della pagina visualizzata. Se non sei sicuro al 100% di quale sia il sito ufficiale, non fare affidamento solo su un motore di ricerca; controlla gli elenchi di attività commerciali ufficiali o almeno Wikipedia per verificare l’indirizzo corretto.
- Leggi attentamente gli avvisi del sistema operativo durante l’installazione. Non concedere le autorizzazioni se i diritti o le azioni richiesti sembrano illogici o eccessivi per l’app che stai installando.
- In nessun caso installa le app da collegamenti o allegati in chat, e-mail o canali di comunicazione simili.
- Non toccare mai il telefono con la carta di credito fisica. Non esiste assolutamente alcuno scenario legittimo in cui ciò possa essere richiesto.
- Non immettere il PIN della carta in nessuna app del telefono. Un PIN deve essere richiesto esclusivamente da uno sportello automatico o da un terminale di pagamento fisico.
- Quando scegli una VPN, attieniti a quelle a pagamento di aziende rispettabili.
- Acquista smartphone e altri dispositivi elettronici dai rivenditori ufficiali e stai alla larga da marchi di cui non hai mai sentito parlare. Ricorda: se una cosa ti sembra troppo bella per essere vera… è quasi certo che non lo sia.
Altre principali minacce Android del 2025:
Consigli