Doctor Web: panoramica sull'attività di virus per dispositivi mobili in I trimestre 2026

1 aprile 2026

Secondo le statistiche di rilevamento di Dr.Web Security Space per dispositivi mobili, nel I trimestre 2026 è continuato il calo dell'attività dei programmi malevoli Android.MobiDash e Android.HiddenAds, che visualizzano annunci pubblicitari invadenti. Quelli primi venivano rilevati sui dispositivi protetti il 32,70% e quelli secondi il 7,09% in meno rispetto al IV trimestre dell'anno scorso. Hanno ceduto la posizione leader ai trojan bancari della famiglia Android.Banker, la cui attività negli ultimi 3 mesi è aumentata di oltre 2,5 volte. Di conseguenza, questi ultimi sono diventati le minacce Android più diffuse. Tali applicazioni malevole intercettano gli SMS con codici monouso per la conferma di operazioni bancarie, visualizzano finestre di phishing, e inoltre, possono imitare l'aspetto esteriore dei veri software bancari per rubare i dati confidenziali. Il più delle volte, gli utenti riscontravano i trojan della sottofamiglia Android.Banker.Mamont, che include una varietà di programmi malevoli.

Sono state largamente diffuse nel I trimestre (il 15,35% del numero totale di rilevamenti) le applicazioni in cui tramite gli strumenti hacker per il modding NP Manager è aggiunto il codice spazzatura allo scopo di confondere la logica. Dall'autunno dello scorso anno questi strumenti vengono attivamente utilizzati nei trojan della famiglia Android.Banker.Mamont per contrastare il rilevamento da parte degli antivirus, pertanto, noi avvertiamo che una determinata applicazione è stata modificata. I prodotti antivirus Dr.Web rilevano i simili programmi come Tool.Obfuscator.TrashCode.

Un altro software potenzialmente pericoloso, nonostante un calo del numero di rilevamenti del 31,65%, di nuovo sono stati i programmi modificati con l'ausilio dell'utility NP Manager (Dr.Web li rileva come Tool.NPMod). Questa utility contiene diversi moduli per la protezione e l'offuscamento del codice di programmi, nonché per l'aggiramento del controllo della loro firma digitale dopo la modifica. I cybercriminali la utilizzano per la protezione dei malware allo scopo di ostacolarne il rilevamento da parte degli antivirus.

Le applicazioni indesiderate più diffuse sono stati i falsi antivirus Program.FakeAntiVirus che rilevano presunte minacce, per "eliminare" le quali, richiedono l'acquisto di una versione completa. Inoltre, gli utenti di nuovo dovevano affrontare i programmi dalle famiglie Program.FakeMoney e Program.CloudInject. Quelli primi presumibilmente consentirebbero di guadagnare con lo svolgimento di vari compiti. Quelli secondi rappresentano software modificati tramite il servizio cloud CloudInject. Tramite questo servizio, alle applicazioni vengono aggiunti pericolose autorizzazioni di sistema e un codice offuscato, le cui funzionalità è impossibile controllare.

Tra i software pubblicitari, leader per numero di rilevamenti sono diventati i programmi di ottimizzazione Adware.Bastion.1.origin. Creano periodicamente notifiche con messaggi fuorvianti su presunti memoria insufficiente ed errori di sistema. Il loro obiettivo è di visualizzare annunci pubblicitari durante "l'ottimizzazione". Un altro popolare software pubblicitario sono state le applicazioni Adware.Opensite.15, che i malintenzionati spacciano per strumenti di cheat per l'ottenimento di risorse in giochi. In realtà, tali programmi caricano vari siti con annunci. Di nuovo erano diffusi anche i programmi con moduli pubblicitari incorporati Adware.AdPush.

A gennaio l'azienda Doctor Web ha informato gli utenti di Android.Phantom — una nuova famiglia di applicazioni trojan clicker. I nostri analisti dei virus hanno identificato diverse fonti di distribuzione di questi malware. Tra di esse, lo store di applicazioni ufficiale per dispositivi Xiaomi GetApps, dove i trojan erano incorporati in alcuni giochi. Oltre a questo, i cybercriminali distribuivano i clicker insieme a mod di popolari applicazioni tramite diversi canali Telegram, server Discord, raccolte software online e siti malevoli.

Tramite Android.Phantom, i malintenzionati aumentano artificialmente i clic pubblicitari su siti web, impiegando per questo le tecnologie di machine learning e la WebRTC — tecnologia di trasmissione in streaming di dati (inclusi video) attraverso il browser. I trojan caricano in una WebView invisibile le risorse internet target insieme a un codice JavaScript per la simulazione di azioni utente. L'interazione con gli annunci avviene in una delle due modalità. Se sul dispositivo è possibile l'utilizzo della WebRTC, i clicker Android.Phantom trasmettono in streaming lo schermo virtuale con un sito caricato ai malintenzionati, i quali lo gestiscono manualmente o utilizzando un sistema automatizzato.

Se la WebRTC non è disponibile, vengono impiegati script automatizzati in JavaScript che utilizzano il framework TensorFlowJS. I clicker scaricano dal server remoto il modello comportamentale richiesto, nonché il JavaScript contenente il framework stesso e tutte le funzioni necessarie per il funzionamento del modello e l'interazione con i siti target.

Durante il I trimestre, il laboratorio antivirus dell'azienda Doctor Web ha registrato la comparsa di nuove minacce sullo store di app Google Play. Queste includevano numerose applicazioni trojan Android.Joker, nonché i programmi malevoli Android.Subscription.23 e Android.Subscription.24. Questi ultimi sono progettati per abbonare utenti a servizi a pagamento.

Secondo i dati di Dr.Web Security Space per dispositivi mobili

Android.Banker.Mamont.80.origin

Trojan bancario che intercetta gli SMS con codici monouso da istituti di credito, il contenuto di notifiche, nonché raccoglie altre informazioni confidenziali. Queste ultime includono dati tecnici sul dispositivo infetto, la lista di applicazioni installate, informazioni sulla scheda SIM, su chiamate ed SMS ricevuti e inviati.

Android.FakeApp.1600

Programma trojan che carica il sito web specificato nelle sue impostazioni. Le varianti conosciute di questa applicazione malevola caricano un sito di casinò online.

Android.HiddenAds.675.origin

Programma trojan per la visualizzazione di pubblicità invadenti. I campioni della famiglia Android.HiddenAds spesso vengono distribuiti sotto le apparenze di applicazioni innocue, e in alcuni casi, vengono installati nella directory di sistema da altri software malevoli. Entrando su dispositivi Android, tali trojan pubblicitari di solito nascondono all'utente la propria presenza nel sistema: per esempio, nascondono l'icona dell'applicazione dal menu della schermata principale.

Android.Packed.57.origin

Rilevamento di un programma di offuscamento, utilizzato, tra l'altro, per la protezione di applicazioni malevole (ad esempio, di alcune versioni dei trojan bancari Android.SpyMax).

Android.Click.1812

Rilevamento di mod malevole dell'applicazione di messaggistica WhatsApp, che impercettibilmente per l'utente possono caricare vari siti in modalità background.

Program.FakeAntiVirus.1

Rilevamento di programmi pubblicitari che simulano il funzionamento di software antivirus. Tali programmi possono segnalare minacce inesistenti e ingannare gli utenti chiedendo di pagare per l'acquisto di una versione completa.

Program.FakeMoney.11

Rilevamento di applicazioni che presumibilmente consentirebbero di guadagnare con l'effettuazione di determinate azioni o compiti. Questi programmi simulano l'accredito di premi, tuttavia, per ritirare il denaro "guadagnato", è necessario accumulare una determinata somma. Di solito, hanno una lista di sistemi di pagamento e banche più popolari, attraverso cui presumibilmente sarebbe possibile ritirare i premi. Ma anche quando gli utenti riescono ad accumulare la somma da ritirare sufficiente, non ricevono i pagamenti promessi. Con questo record vengono rilevati anche altri software indesiderati basati sul codice di tali programmi.

Program.CloudInject.5

Program.CloudInject.1

Rilevamento di applicazioni Android modificate tramite il servizio cloud CloudInject e l'omonima utility Android (aggiunta al database dei virus Dr.Web come Tool.CloudInject). Tali programmi vengono modificati sul server remoto, e l'utente (modificatore) interessato a modificarli non ha il controllo su che cosa esattamente verrà incorporato in essi. Inoltre, le applicazioni ricevono un set di autorizzazioni pericolose. Dopo la modificazione dei programmi, il modificatore ottiene la possibilità di gestirli in remoto: bloccarli, visualizzare dialoghi configurabili, tracciare l'installazione e la rimozione di altri software ecc.

Program.SnoopPhone.1.origin

Programma per il monitoraggio dei proprietari di dispositivi Android. Consente di leggere SMS, ottenere informazioni su chiamate, tracciare la posizione del dispositivo e registrare l'audio dell'ambiente circostante.

Tool.Obfuscator.TrashCode.1

Tool.Obfuscator.TrashCode.2

Rilevamento di programmi Android in cui tramite strumenti hacker per il modding di applicazioni è aggiunto codice spazzatura. Tale modificazione viene eseguita allo scopo di confondere la logica dei programmi. Questa tecnica è spesso riscontrata nei trojan bancari e nelle versioni pirata di software.

Tool.NPMod.3

Tool.NPMod.1

Rilevamento di applicazioni Android modificate tramite l'utility NP Manager. Questa utility contiene moduli per l'offuscamento e la protezione del codice di programmi, nonché per l'aggiramento del controllo della loro firma digitale dopo la modifica. L'offuscamento da essa aggiunto spesso viene utilizzato in malware per renderne più difficile il rilevamento e l'analisi.

Tool.LuckyPatcher.2.origin

Utility che consente di modificare le applicazioni Android installate (creare patch per esse) al fine di modificarne la logica di funzionamento o aggirare determinate restrizioni. Ad esempio, utilizzandola, gli utenti possono tentare di disattivare il controllo dei permessi di root in programmi bancari od ottenere risorse illimitate in giochi. Per creare le patch, l'utility scarica da internet script appositamente preparati che chiunque sia interessato può creare e aggiungere a un database comune. Le funzionalità di tali script possono risultare, tra l'altro, anche malevole, pertanto, le patch create possono rappresentare un potenziale pericolo.

Adware.Bastion.1.origin

Rilevamento di programmi di ottimizzazione che creano periodicamente notifiche con messaggi fuorvianti su presunti memoria insufficiente ed errori di sistema allo scopo di visualizzare annunci pubblicitari durante "l'ottimizzazione".

Adware.AdPush.3.origin

Modulo adware che può essere integrato in programmi Android. Visualizza notifiche pubblicitarie che fuorviano gli utenti. Ad esempio, tali notifiche possono somigliare ai messaggi del sistema operativo. Inoltre, questo modulo raccoglie una serie di dati riservati, ed è in grado di scaricare altre app e avviarne l'installazione.

Adware.Opensite.15

Applicazioni spacciate per strumenti di cheat per l'ottenimento di risorse in giochi. In realtà, sono creati per la visualizzazione di pubblicità. Questi programmi ricevono dal server remoto la configurazione, in base alla quale caricano un sito target con annunci: banner, finestre a comparsa, filmati ecc.

Adware.Fictus.1.origin

Modulo pubblicitario che i malintenzionati incorporano in versioni clone di popolari giochi e programmi Android. Viene integrato in programmi tramite un packer specializzato net2share. Le copie di software create in questo modo vengono distribuite attraverso diversi store di app, e dopo l'installazione visualizzano pubblicità indesiderate.

Adware.Airpush.7.origin

Moduli software che vengono incorporati in applicazioni Android e visualizzano le più svariate pubblicità. A seconda della versione e variante, queste possono essere notifiche, finestre a comparsa o banner pubblicitari. Tramite questi moduli, i malintenzionati spesso distribuiscono programmi malevoli invitando a installare determinati software. Inoltre, tali moduli trasmettono al server remoto varie informazioni riservate.

Minacce su Google Play

Nel I trimestre 2026 gli specialisti del laboratorio antivirus Doctor Web hanno individuato sullo store di app Google Play ulteriori applicazioni malevole Android.Joker, che iscrivono le vittime a servizi a pagamento. I trojan erano nascosti in una serie di utility per l'ottimizzazione del funzionamento di dispositivi Android, nonché venivano distribuiti sotto le false apparenze di app di messaggistica, software multimediali e altri. Gli utenti li hanno installati complessivamente 370.000 volte.

Esempi di malware Android.Joker, rilevati su Google Play nel I trimestre 2026. Android.Joker.2511 era incorporato nell'app di messaggistica Private Chat Message, e Android.Joker.2524 nel programma fotocamera Magic Camera

Inoltre, i nostri analisti di virus hanno rilevato i programmi malevoli denominati Android.Subscription.23 e Android.Subscription.24, anche questi studiati per abbonare utenti a servizi a pagamento. I trojan caricano siti web su cui tramite la tecnologia Wap Click vengono attivati abbonamenti mobili a pagamento. Su questi siti agli utenti viene chiesto il numero di cellulare, dopodiché avviene un tentativo di abbonamento automatico al servizio. Complessivamente le due applicazioni malevole sono state scaricate dallo store Google Play oltre 1.500.000 volte.

Malware Android.Subscription.23 e Android.Subscription.24 venivano distribuiti con il pretesto delle app per la gestione di finanze personali Stream Hive e Prime Link, tuttavia, la loro unica funzionalità consisteva nel caricare i siti per l'abbonamento di proprietari di dispositivi Android a servizi mobili a pagamento

Per la protezione dei dispositivi Android dai programmi malevoli e indesiderati, consigliamo agli utenti di installare i prodotti antivirus Dr.Web per Android.

Indicatori di compromissione