Negli ultimi mesi, il panorama della sicurezza informatica ha rilevato una crescita significativa nei malware Android, con campagne sempre più sofisticate che colpiscono dispositivi mobili attraverso tecniche innovative come attacchi overlay, frodi tramite virtualizzazione e furti tramite NFC. Uno degli esempi più rilevanti è il malware AntiDot, che ha già infettato oltre 3.700 dispositivi in più di 270 campagne distinte. Gestito da gruppi criminali motivati economicamente e venduto come servizio nei forum underground, AntiDot si distingue per la capacità di registrare lo schermo abusando dei servizi di accessibilità, intercettare SMS e sottrarre dati sensibili da applicazioni di terze parti.
Il malware viene spesso distribuito tramite campagne di phishing mirate o reti pubblicitarie malevole, sfruttando la selezione delle vittime in base a lingua e posizione geografica. Una volta installato, AntiDot richiede autorizzazioni avanzate e si configura come app SMS predefinita, consentendo di monitorare messaggi e chiamate, bloccare comunicazioni e reindirizzare telefonate per aumentare le opportunità di frode. La sua struttura modulare e l’uso di packer commerciali rendono difficile l’individuazione da parte degli antivirus.
Oltre ad AntiDot: evoluzioni di GodFather
Oltre ad AntiDot, una nuova evoluzione del trojan GodFather sta destando preoccupazione. Questo malware utilizza una tecnica di virtualizzazione per creare un ambiente isolato direttamente sul dispositivo della vittima. Ciò permette di installare e controllare versioni virtualizzate di app bancarie e di criptovalute, monitorando le attività dell’utente in tempo reale e bypassando alcuni sistemi di sicurezza di Android. GodFather sfrutta ancora una volta i servizi di accessibilità per ottenere privilegi elevati e può persino sottrarre le credenziali di blocco dispositivo, aumentando il rischio per la privacy e la sicurezza.
SuperCard X e i furti tramite NFC
Non meno insidioso è SuperCard X, una variante di malware che prende di mira utenti russi con attacchi relay tramite NFC, permettendo il furto di dati da carte di pagamento e la realizzazione di transazioni fraudolente. Anche qui, la tecnica di distribuzione si basa su smishing per indurre la vittima a installare un APK malevolo.
Malware anche negli store ufficiali
Infine, nonostante molte di queste minacce richiedano il sideload delle app, sono state scoperte applicazioni malevole persino sugli store ufficiali come Google Play e App Store, progettate per sottrarre dati personali o frasi mnemoniche di wallet crypto. Il caso di RapiPlata, scaricata oltre 150.000 volte, dimostra come anche le piattaforme ufficiali possano essere veicolo di malware che uniscono estorsione e furto dati. Gli utenti dovrebbero prestare particolare attenzione nel download di app finanziarie e di prestito, preferendo sempre fonti affidabili e verificando le autorizzazioni richieste.