Accedi
Blog

Allarme Android: il nuovo malware che svuota il conto aggirando la sicurezza. L'analisi

La recente scoperta riportata dai ricercatori di Cleafy riguardante Albiriox, una nuova famiglia di malware Android rilasciato nella formula Malware-as-a-Service (MaaS),in grado di prendere il controllo totale del dispositivo, segna un punto di svolta preoccupante, che merita un'analisi tecnica approfondita, non semplice allarmismo

Il cambio di paradigma: perché non è il "solito" virus

Se c'è una cosa che ripetiamo sempre ai nostri clienti, è che la sicurezza informatica non è uno stato statico, ma una corsa agli armamenti continua. Fino a poco tempo fa, l'utente medio viveva in una sorta di "bolla di sicurezza" garantita dalla biometria: "Ho l'impronta digitale, ho il FaceID, nessuno può entrare nel mio conto".

Purtroppo, la realtà descritta da questa nuova ondata di minacce (spesso riconducibili a famiglie come ToxicPanda o evoluzioni simili) ci dice l'opposto. Non siamo più di fronte a semplici virus che cercano di rubare una password salvata in un file di testo. Siamo nell'era dell'ODF (On-Device Fraud).

In parole semplici: i criminali non stanno più cercando di hackerare i server della banca ma hanno deciso di hackerare l'anello debole della catena: il vostro smartphone. E lo fanno in modo così sofisticato da simulare l'interazione umana, rendendo inutili molti dei sistemi di rilevamento antifrode tradizionali. In questo scenario, l’obiettivo di questo articolo è fare chiarezza su come agiscono queste minacce "invisibili" e perché la consapevolezza è l'unico vero antivirus efficace.

Anatomia dell'attacco: come il malware diventa il "proprietario" del telefono

Per capire come difenderci, dobbiamo prima capire come attaccano. Analizzando il comportamento di questi nuovi malware, emerge un pattern operativo  estremamente preciso e subdolo. Ecco cosa succede, passo dopo passo, nel vostro smartphone Android.

Fase 1: Il Cavallo di Troia

Il malware non entra mai dalla porta principale dichiarando le sue intenzioni.

Quasi sempre arriva tramite sideloading (installazione di app al di fuori del Google Play Store) o attraverso campagne di phishing mirate. Spesso si maschera da:

  • Un aggiornamento critico di Google Chrome o del sistema operativo
  • Un'app di utilità (lettore PDF, scanner QR, download Video)
  • Una versione "moddata" (modificata) di app popolari (es. WhatsApp o giochi a pagamento gratis)

Una volta installata, l'app sembra funzionare o mostra un errore generico, ma il "payload" (il codice dannoso) è già stato scaricato.

Fase 2: La richiesta chiave (Accessibility Services)

Questo è il punto cruciale.

Il malware, appena avviato, chiede all'utente di attivare i Servizi di Accessibilità (Accessibility Services).

Questi servizi sono nati per aiutare le persone con disabilità a usare lo smartphone, ma concederli a un'app sconosciuta equivale a consegnare le chiavi di casa al ladro. Perché è così pericoloso? Perché con i permessi di accessibilità il malware può:

  • Leggere tutto ciò che appare sullo schermo (inclusi i saldi bancari e i codici OTP).
  • Cliccare autonomamente bottoni e link senza che tu tocchi lo schermo.
  • Impedire la disinstallazione dell'app stessa, chiudendo le finestre delle impostazioni.

Fase 3: L'azione invisibile (Remote Access & Overlay)

Una volta ottenuti i permessi, il malware stabilisce una connessione con il server dei criminali.

A questo punto, il telefono diventa un "zombie".

I criminali possono attendere che il telefono sia in carica o inutilizzato (spesso di notte) per agire.

Usano tecniche di Overlay Attack: sovrappongono finestre finte a quelle delle vere app bancarie per rubare le credenziali, oppure, ed è questa la novità più spaventosa, usano l'accesso remoto per operare direttamente sull'app bancaria autentica installata sul telefono, effettuando bonifici come se foste voi, aggirando i controlli comportamentali della banca.

Perché i controlli biometrici e la 2FA falliscono? (Il punto dolente)

Questa è la domanda che ci fanno più spesso durante le consulenze: "ma io ho l'autenticazione a due fattori (2FA) e l'impronta digitale, come fanno a svuotarmi il conto?".

È una domanda legittima, ma si basa su una concezione della sicurezza che questi malware hanno ormai superato.

Dobbiamo sfatare un mito: la biometria (FaceID, TouchID) protegge l'accesso al dispositivo, ma non garantisce chi stia effettivamente operando all'interno del dispositivo una volta sbloccato.

Ecco perché le difese tradizionali crollano di fronte all'ODF (On-Device Fraud):

  • Il paradosso della 2FA via SMS: se il malware ha ottenuto i permessi di lettura delle notifiche o degli SMS (come spiegato nella fase 2), l'invio del codice OTP da parte della banca è inutile. Il malware intercetta il codice in millisecondi, lo inserisce nel campo richiesto e cancella l'SMS prima ancora che l'utente senta la vibrazione della notifica. Tutto avviene sullo stesso dispositivo infetto: non c'è "secondo fattore" reale se entrambi i fattori (password e telefono) sono compromessi.
  • L'inganno Biometrico: slcuni malware avanzati utilizzano tecniche di social engineering in tempo reale. Possono mostrare una schermata di errore fittizia o una richiesta di sistema che sembra legittima, chiedendo all'utente di "verificare l'identità" con l'impronta. L'utente appoggia il dito convinto di sbloccare un'app, ma in realtà sta autorizzando una transazione fraudolenta che il malware ha preparato in background.

In sintesi: quando il nemico è già dentro le mura, chiudere il cancello non serve a nulla.

L'impatto sulle Aziende e il rischio BYOD: un "Cavallo di Troia" in ufficio

Se fino a qui hai pensato "Beh, è un problema del singolo utente sbadato", ti invitiamo a cambiare prospettiva.

Da esperti di cybersecurity aziendale, questo è il punto che ci preoccupa di più e che dovrebbe togliere il sonno a CEO e IT Manager.

Viviamo nell'era del BYOD (Bring Your Own Device) o del suo utilizzo ibrido.

Lo stesso smartphone Android su cui il dipendente ha inavvertitamente scaricato l'app infetta (magari per guardare partite in streaming o scaricare giochi moddati per il figlio) è quasi certamente lo stesso dispositivo su cui:

  • Riceve le email aziendali
  1. Ha accesso alle cartelle in Cloud (Google Drive, OneDrive, Dropbox)
  2. Utilizza l'app di autenticazione (es. Microsoft Authenticator o Google Authenticator) per accedere alla VPN aziendale
  3. Chatta su Teams, Slack o gruppi WhatsApp aziendali dove circolano documenti riservati

L'equazione del rischio è semplice: Se un malware ha il controllo remoto del dispositivo e può leggere ciò che passa sullo schermo, il perimetro di sicurezza della tua azienda è stato violato.

I criminali informatici non si limitano più ai conti correnti. Una volta ottenuto l'accesso a uno smartphone "corporate" o ibrido, possono esfiltrare credenziali di accesso ai server aziendali, rubare liste clienti o intercettare comunicazioni strategiche.

Il dipendente diventa, a sua insaputa, il vettore d'attacco perfetto: fidato, interno e spesso con privilegi d'accesso elevati.

Come riconoscere se il dispositivo è compromesso: i segnali d'allarme

Spesso il malware lavora nell'ombra, ma lascia delle tracce. Non serve essere un informatico per notare che qualcosa non va.

Ecco i campanelli d'allarme che, secondo la nostra esperienza sul campo, non dovrebbero mai essere ignorati:

  • Surriscaldamento anomalo: se il telefono scotta anche quando è in standby o in tasca, c'è un processo in background che sta consumando risorse (probabilmente sta comunicando con un server esterno o minando criptovalute)
  • Batteria che si scarica molto più velocemente del solito: un calo drastico dell'autonomia senza un reale cambio delle abitudini d'uso è spesso sintomo di attività malevola nascosta
  • Permessi di Accessibilità attivi: Vai nelle Impostazioni > Accessibilità. Se vedi app che non riconosci (spesso con nomi generici come "System Update", "Service Helper" o icone invisibili) che hanno il permesso "Attivo", disattivale immediatamente e disinstalla l'app
  • Notifiche "fantasma": ricevi SMS di codici OTP da servizi (Banche, PayPal, Amazon) che non hai richiesto? Qualcuno sta provando ad accedere a tuo nome
  • App che riappaiono: Se disinstalli un'app e questa ricompare dopo il riavvio, hai a che fare con un malware persistente

Strategie di difesa: L'approccio Keidea

Di fronte a minacce che evolvono ogni settimana, l'antivirus classico non basta più.

In Keidea Srl promuoviamo un approccio proattivo, basato sulla filosofia "Zero Trust" (non fidarsi mai, verificare sempre).

Ecco cosa consigliamo concretamente:

  • Per l'utente singolo: la regola d'oro è l'igiene digitale. Non installare mai APK scaricati da siti web, link Telegram o allegati email. Usa solo il Google Play Store e attiva sempre Google Play Protect. Prima di concedere un permesso (specialmente Accessibilità o Lettura SMS), chiediti: "Perché questa app calcolatrice vuole leggere i miei messaggi?"
  • Per le Aziende e le PMI: la sicurezza non può essere delegata al buon senso del dipendente. È fondamentale implementare sistemi di MDM (Mobile Device Management) che permettano di separare i dati aziendali da quelli personali (containerizzazione) e di bloccare l'installazione di app non verificate sui dispositivi aziendali
  • Formazione continua: il firewall più efficace resta l'essere umano. Investire in security awareness significa trasformare i dipendenti da anello debole a prima linea di difesa. Far partecipare i dipendenti a corsi di formazione su Igiene digitale e Cybersicurezza in modo programmato e continuativo è fondamentale per proteggere l’azienda. Un piccolo investimento in formazione può far risparmiare un sacco di soldi nel medio/lungo termine

Conclusione: Non aspettare l'incidente per agire

La notizia di questo nuovo malware Android non deve generare panico, ma consapevolezza.

Lo smartphone è diventato la cassaforte della nostra vita digitale e professionale; proteggerlo non è un optional, è un requisito di business.

Se leggendo questo articolo ti è sorto il dubbio sulla sicurezza dei dispositivi nella tua azienda, o se semplicemente vuoi capire come blindare i tuoi dati contro queste nuove minacce "invisibili", non restare nell'incertezza.

Due modi concreti per proteggerti oggi stesso con Keidea:

  1. Richiedi una Consulenza Gratuita: analizziamo insieme la tua attuale “security posture” e identifichiamo le vulnerabilità prima che vengano sfruttate. Se hai un sito web basato su CMS standard (Wordpress, Prestashop, Joomla) possiamo mettere in sicurezza anche quello con un approccio collaudato ed efficace, ripulendo anche malware già presente. Richiedi subito una consulenza o un preventivo sulla nostra pagina dedicata: https://www.keideasrl.it/preventivo
  2. Resta un passo avanti agli hacker: iscriviti a KeSecurity, la nostra newsletter settimanale. Niente spam, solo aggiornamenti di cybersicurezza concreta, news verificate e consigli realmente utili per proteggere Aziende e PMI. Ogni settimana, direttamente nella tua casella email, riceverai approfondimenti e analisi dei nostri esperti, con gli strumenti per difendere il tuo business: Clicca qui per iscriverti alla Newsletter

 

cybersecurity cybersicurezza

Cloudflare di nuovo down: il web trema e il mondo si accorge di quanto sia fragile Internet

Probloemi Cloudfare

Come Ottimizzare l'E-commerce per i Motori di Ricerca

Come Ottimizzare l'E-commerce per i Motori di Ricerca

Realizzazione E-commerce Professionale: Da Idea a Negozio Online di Successo 2025

Dashboard e-commerce, con prodotti, e scelta attributi

Sito Web Noleggio Auto: La Soluzione Chiavi in Mano per il Tuo Business 2025

Piattaforma Sito Web Noleggio Auto - KeNoleggio by KeIdea

Hosting E-commerce: Come Scegliere il Migliore per Prestashop nel 2025

Server hosting e-commerce con dashboard Prestashop che mostra performance, uptime 99.9% e sicurezza SSL

Piattaforma Booking Online: Elimina le Commissioni e Riprendi il Controllo

Dashboard piattaforma booking online con calendario prenotazioni, analytics e gestione disponibilità su laptop, tablet e smartphone

Come Creare un Sito Web Professionale: La Guida Step-by-Step 2025

Workspace professionale per creazione sito web con laptop che mostra website builder, wireframe, mockup responsive e pianificazione

SEO per E-commerce: 15 Strategie per Vendere di Più Online nel 2025

Dashboard SEO per e-commerce con laptop che mostra ottimizzazione keyword, analytics in crescita e carrello acquisti

Prestashop vs WooCommerce: Quale Piattaforma E-commerce Scegliere nel 2025

Confronto visivo tra Prestashop e WooCommerce su due laptop affiancati con dashboard e interfacce delle piattaforme e-commerce

Quanto Costa un E-commerce Professionale nel 2025: Guida Completa ai Prezzi

costo sito e-commerce 2025

Carrelli Abbandonati? L'AI Sales Assistant per PrestaShop che Converte Mentre Dormi

prestashop intelligenza artificiale

Rivoluziona il Tuo Autonoleggio: Arriva l'AI Sales Assistant!

intelligenza artificiale per noleggio auto

Maker Page e Realizzazione Siti Web Professionali

Maker Page e Realizzazione Siti Web Professionali

Sito Web Gratis e Shopping Online

Sito Web Gratis e Shopping Online

Come Creare un Sito Web Professionale

Come Creare un Sito Web Professionale

Siti web in vendita: progetti ad alto potenziale

Siti web in vendita: progetti ad alto potenziale

Vibe Coding: rischi e opportunità — trasforma il tuo progetto con Keidea

vibe coding rischi e opportunità

Rivoluziona la Tua Comunicazione Aziendale: L'Automazione Email Tramite Agente AI

La Crisi Silenziosa che Sta Uccidendo i Gommisti Italiani (E Come Kepneus Può Salvarti)

kepneus il software per gommisti

Sicurezza Informatica: Proteggi il tuo business dagli Hacker

sicurezza informatica, cybersecurity e difendersi da attacco hacker

Parla con un Esperto

Sei interessato? Per qualsiasi informazione, Contatta KeIdea s.r.l. al 0835 407501! Puoi ottenere un consulto gratuito parlando con uno dei nostri operatori!

Vai ai contatti

Cosa dicono i nostri clienti

Il miglior investimento fatto finora! Il mio negozio online va alla grande! KeIdea è stata davvero professionale. Vendere online adesso mi riesce facilmente!
Marta C.
Dopo varie difficoltà nella vendita dei miei prodotti, ho deciso di aprire un ecommerce. Che dire... da quando ho fatto questo passo, le mie vendite sono aumentate tantissimo!
Giuseppe M.
Sono la titolare di EnglishLessonService. Cosa dire di Keidea: molto seri e professionali. Rispettano sempre le scadenze e sono molto precisi nel loro lavoro.
Marta G.
Se volete creare un sito di noleggio auto affidatevi a loro! Stra consigliati. Il mio AutonoleggioPrime va alla grande
Andrea F.