Boom di malware Android nel 2025: +67% di attacchi rispetto all’anno scorso

Gli analisti della società di sicurezza informatica Zscaler hanno calcolato che tra giugno 2024 e maggio 2025 sono state scoperte 239 app dannose su Google Play, che in totale sono state scaricate più di 42 milioni di volte.

Secondo il rapporto dei ricercatori, il numero di attacchi ai dispositivi mobili è aumentato del 67% nel corso dell’anno. Le minacce principali sono state trojan bancari, spyware e adware.

Il motore principale di questa crescita significativa sono gli attacchi ai pagamenti tramite dispositivi mobili. Gli hacker criminali stanno abbandonando i tradizionali metodi di contraffazione delle carte di credito e puntando sull’ingegneria sociale: phishing, smishing, scambio di SIM e altre forme di frode nei pagamenti.

Mentre lo scorso anno Zscaler aveva contato circa 200 programmi dannosi nell’app store ufficiale di Android, quest’anno ne ha rilevati 239. La minaccia più comune è stata l’adware, che ha rappresentato il 69% di tutti i casi. L’infostealer Joker si è classificato al secondo posto (23%).

Un’altra tendenza è il crescente utilizzo di spyware, in crescita del 220% su base annua. I più comuni tra questi rimangono SpyNote, SpyLoan e BadBazaar, utilizzati a fini di sorveglianza, ricatto e furto di identità.

I malware Android colpiscono più spesso gli utenti in India, Stati Uniti e Canada, rappresentando il 55% degli attacchi. In Italia e Israele, i tassi di infezione sono aumentati dell’800-4000% su base annua.

Nel loro rapporto annuale, i ricercatori individuano tre famiglie di malware particolarmente pericolose e diffuse.

• Anatsa è un trojan bancario che appare periodicamente su Google Play sotto forma di utile utilità e ruba dati dalle app di oltre 830 banche e piattaforme di criptovalute.
• Android Void (Vo1d) è una backdoor per TV box che eseguono versioni precedenti di Android Open Source Project (AOSP) e che ha infettato almeno 1,6 milioni di dispositivi.
• Xnotice è un Trojan RAT che prende di mira chi cerca lavoro nel settore petrolifero e del gas, in particolare in Iran e nelle regioni di lingua araba, rubando credenziali bancarie, codici di autenticazione a due fattori e messaggi SMS.

Gli esperti ricordano agli utenti di installare tempestivamente gli aggiornamenti, di evitare le app che richiedono l’accesso ai servizi di accessibilità, di eseguire la scansione dei dispositivi con Play Protect e di non scaricare app non necessarie.

Inoltre, i ricercatori stanno registrando un aumento degli attacchi ai dispositivi IoT (principalmente router), che vengono infettati tramite varie vulnerabilità e poi diventano parte di botnet e server proxy per la distribuzione di malware.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore