{"id":30435,"date":"2026-02-05T11:07:23","date_gmt":"2026-02-05T09:07:23","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30435"},"modified":"2026-02-05T11:07:23","modified_gmt":"2026-02-05T09:07:23","slug":"growing-2026-android-threats-and-protection","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/growing-2026-android-threats-and-protection\/30435\/","title":{"rendered":"La tempesta perfetta delle minacce Android"},"content":{"rendered":"

Il 2025 ha visto un numero record di attacchi ai dispositivi Android. I truffatori stanno attualmente cavalcando alcune grandi onde: il clamore che circonda le app di intelligenza artificiale, il bisogno di aggirare i blocchi dei siti o i controlli dell\u2019et\u00e0, la ricerca di un affare per un nuovo smartphone, l\u2019ubiquit\u00e0 del mobile banking e, naturalmente, la popolarit\u00e0 dell\u2019NFC. Analizziamo le principali minacce del periodo 2025-2026 e scopriamo come tenere al sicuro il dispositivo Android in questo nuovo panorama.<\/p>\n

Sideloading<\/h2>\n

I pacchetti di installazione dannosi (file APK) sono sempre stati il boss finale tra le minacce Android, nonostante gli sforzi pluriennali di Google per rafforzare il sistema operativo. Utilizzando il sideloading, ovvero l\u2019installazione di un\u2019app tramite un file APK anzich\u00e9 scaricarla dall\u2019archivio ufficiale, gli utenti possono installare praticamente qualsiasi cosa, incluso il malware diretto. E n\u00e9 il lancio di Google Play Protect, n\u00e9 le varie restrizioni delle autorizzazioni per le app losche sono riuscite a intaccare l\u2019entit\u00e0 del problema.<\/p>\n

Secondo i dati preliminari di Kaspersky per il 2025, il numero delle minacce Android rilevate \u00e8 cresciuto quasi della met\u00e0<\/a>. Solo nel terzo trimestre i rilevamenti sono aumentati del 38%<\/a> rispetto al secondo trimestre. In alcuni ambiti, come i Trojan banker, la crescita \u00e8 stata ancora pi\u00f9 aggressiva. Solo in Russia, il famigerato banchiere Mamont<\/a> ha attaccato 36 volte pi\u00f9 utenti rispetto all\u2019anno precedente, mentre a livello globale l\u2019intera categoria ha visto un aumento del quadruplo.<\/p>\n

Oggi gli utenti malintenzionati distribuiscono il malware principalmente tramite le app di messaggistica facendo scorrere i file dannosi nei messaggi diretti e nelle chat di gruppo. Il file di installazione in genere ha un nome allettante (si pensi a \u201cparty_pics.jpg.apk\u201d o \u201cclearance_sale_catalog.apk\u201d), accompagnato da un messaggio \u201cutile\u201d che spiega come installare il pacchetto ignorando le restrizioni del sistema operativo e gli avvisi di sicurezza.<\/p>\n

Quando un nuovo dispositivo viene infettato, il malware spesso invia spam a tutti gli utenti nell\u2019elenco dei contatti della vittima.<\/p>\n

Anche le campagne e-mail e spam nei motori di ricerca sono di tendenza, attirando gli utenti verso siti che assomigliano esattamente a un app store ufficiale. L\u00ec viene richiesto di scaricare \u201cl\u2019ultima app utile\u201d, ad esempio un assistente AI. In realt\u00e0, anzich\u00e9 eseguire un\u2019installazione da un App Store ufficiale, l\u2019utente finisce per scaricare un pacchetto APK. Un ottimo esempio di queste tattiche \u00e8 il Trojan Android ClayRat<\/a>, che utilizza un mix di tutte queste tecniche per prendere di mira gli utenti russi. Si diffonde attraverso gruppi e siti Web falsi, si diffonde ai contatti della vittima tramite SMS, quindi procede a rubare i registri delle chat e la cronologia delle chiamate della vittima; arriva persino a scattare foto del proprietario utilizzando la fotocamera frontale. In soli tre mesi sono emerse oltre 600 diverse build ClayRat.<\/p>\n

L\u2019entit\u00e0 del disastro \u00e8 cos\u00ec imponente che Google ha persino annunciato un imminente divieto<\/a> di distribuzione di app di sviluppatori sconosciuti a partire dal 2026. Tuttavia, dopo un paio di mesi di pressioni da parte della community di sviluppatori, l\u2019azienda \u00e8 passata<\/a> a un approccio pi\u00f9 morbido: le app non firmate probabilmente saranno installabili solo tramite una sorta di modalit\u00e0 superutente. Di conseguenza, possiamo aspettarci che i truffatori aggiornino semplicemente le proprie guide pratiche con istruzioni su come attivare tale modalit\u00e0.<\/p>\n

Kaspersky per Android<\/a> vi aiuter\u00e0 a proteggervi dai file APK contraffatti e trojanizzati. Purtroppo, a causa della decisione di Google, le nostre app di protezione Android non sono al momento disponibili su Google Play. In precedenza sono state fornite informazioni dettagliate su come installare le nostre app Android con una garanzia di autenticit\u00e0 del 100%<\/a>.<\/p>\n

Attacchi relay NFC<\/h2>\n

Quando un dispositivo Android viene compromesso, gli hacker possono ignorare l\u2019intermediario per rubare direttamente i soldi della vittima, grazie all\u2019enorme popolarit\u00e0 dei pagamenti mobili. Solo nel terzo trimestre del 2025, oltre 44.000 di questi attacchi sono stati rilevati solo in Russia, con un balzo del 50% rispetto al trimestre precedente.<\/p>\n

Al momento sono in gioco due truffe principali: exploit NFC diretti e inversi.<\/p>\n

L\u2019inoltro NFC diretto si verifica quando un truffatore contatta la vittima tramite un\u2019app di messaggistica e la convince a scaricare un\u2019app, presumibilmente per \u201cverificare la propria identit\u00e0\u201d con la banca. Se la vittima ci casca e lo installa, viene chiesto di appoggiare la carta bancaria fisica al retro del telefono e immettere il PIN. E proprio cos\u00ec i dati della carta vengono consegnati ai malviventi, che possono quindi prosciugare l\u2019account o fare shopping.<\/p>\n

Il relay NFC inverso \u00e8 uno schema pi\u00f9 elaborato. Il truffatore invia un APK dannoso e convince la vittima a impostare questa nuova app come metodo di pagamento contactless primario. L\u2019app genera un segnale NFC che gli sportelli automatici riconoscono come la carta del truffatore. La vittima viene quindi convinta ad andare a un bancomat con il telefono infetto per depositare contanti in un \u201cconto sicuro\u201d. In realt\u00e0, quei fondi vanno direttamente nelle tasche del truffatore.<\/p>\n

Analizziamo entrambi questi metodi in dettaglio nel nostro post, Attacchi di skimming NFC<\/strong><\/a>.<\/p>\n

L\u2019NFC viene anche sfruttato per incassare dalle carte dopo che i relativi dettagli sono stati sottratti tramite siti Web di phishing. In questo scenario, gli autori degli attacchi tentano di collegare la carta rubata a un portafoglio mobile sul proprio smartphone, uno schema di cui abbiamo parlato ampiamente nel post I ladri di dettagli delle carte di credito NFC si nascondono dietro Apple Pay e Google Wallet<\/strong><\/a>.<\/p>\n

Il clamore delle VPN<\/h2>\n

In molte parti del mondo accedere a determinati siti Web non \u00e8 facile come una volta. Alcuni siti sono bloccati dalle autorit\u00e0 di regolamentazione di Internet o dagli ISP locali tramite ingiunzioni del tribunale; altri richiedono agli utenti di superare un controllo di verifica dell\u2019et\u00e0 mostrando ID e informazioni personali. In alcuni casi, i siti bloccano completamente gli utenti di paesi specifici solo per evitare il grattacapo del rispetto delle leggi locali. Gli utenti cercano costantemente di aggirare queste restrizioni e spesso finiscono per pagare con i propri dati o denaro contante.<\/p>\n

Molti strumenti popolari per aggirare i blocchi, in particolare quelli gratuiti, spiano efficacemente i propri utenti. Un recente controllo ha rivelato che oltre 20 servizi popolari con un totale di oltre 700 milioni di download monitorano attivamente la posizione dell\u2019utente<\/a>. Tendono inoltre a utilizzare nella migliore delle ipotesi un criptaggio impreciso, che in sostanza lascia tutti i dati dell\u2019utente scoperti per l\u2019intercettazione di terze parti.<\/p>\n

Inoltre, secondo i dati Google di novembre 2025<\/a>, si \u00e8 verificato un forte aumento dei casi in cui app dannose vengono camuffate da servizi VPN legittimi<\/a> per ingannare ignari utenti.<\/p>\n

Le autorizzazioni effettivamente richieste da questa categoria di app corrispondono perfettamente per l\u2019intercettazione dei dati e la manipolazione del traffico del sito Web. \u00c8 inoltre molto pi\u00f9 facile per i truffatori convincere una vittima a concedere privilegi di amministratore a un\u2019app responsabile dell\u2019accesso a Internet rispetto, ad esempio, a un gioco o a un lettore musicale. Dovremmo aspettarci che questo schema cresca in popolarit\u00e0.<\/p>\n

Trojan pronti all\u2019uso<\/h2>\n

Anche gli utenti prudenti possono essere vittime di un\u2019infezione se cedono all\u2019impulso di risparmiare denaro. Nel corso del 2025 sono stati segnalati casi in tutto il mondo in cui i dispositivi erano gi\u00e0 portatori di un Trojan nel momento in cui \u00e8 stata aperta la confezione<\/a>. In genere si trattava di smartphone di oscuri produttori o imitazioni di marchi famosi acquistati sui Marketplace online. Ma la minaccia non era limitata ai soli telefoni; Sono risultati a rischio box TV, tablet, smart TV<\/a> e persino cornici per foto digitali<\/a>.<\/p>\n

Non \u00e8 ancora del tutto chiaro se l\u2019infezione si verifichi direttamente in fabbrica o da qualche parte lungo la supply chain tra la fabbrica e la porta dell\u2019acquirente, ma il dispositivo \u00e8 gi\u00e0 infetto prima della prima accensione. In genere si tratta di un sofisticato malware chiamato Triada, identificato per la prima volta dagli analisti Kaspersky nel 2016<\/a>. \u00c8 in grado di insinuarsi in ogni app in esecuzione per intercettare le informazioni: furto di token di accesso e password per le app di messaggistica e i social media pi\u00f9 diffusi, dirottamento di messaggi SMS (codici di conferma), reindirizzamento degli utenti a siti ricchi di annunci e persino eseguendo un proxy direttamente al telefono, in modo che gli autori degli attacchi possano navigare nel Web utilizzando l\u2019identit\u00e0 della vittima.<\/p>\n

Tecnicamente, il trojan \u00e8 incorporato direttamente nel firmware dello smartphone e l\u2019unico modo per eliminarlo \u00e8 eseguire il reflash del dispositivo con un sistema operativo pulito. Di solito, una volta approfondito il sistema, si scopre che il dispositivo ha molta meno RAM o spazio di archiviazione di quanto pubblicizzato, il che significa che il firmware sta letteralmente mentendo al proprietario per vendere una configurazione hardware economica come qualcosa di pi\u00f9 premium.<\/p>\n

Un\u2019altra minaccia preinstallata comune \u00e8 la botnet BADBOX 2.0<\/a>, che svolge anche il doppio servizio come proxy e motore per le frodi pubblicitarie. Questa minaccia \u00e8 specializzata in box TV e hardware simile.<\/p>\n

Come continuare a utilizzare Android senza perdere la testa<\/h2>\n

Nonostante l\u2019elenco di minacce in continua crescita, \u00e8 comunque possibile utilizzare lo smartphone Android in sicurezza! \u00c8 necessario solo attenersi ad alcune rigide regole di igiene mobile.<\/p>\n